Consumidores en Acción ha detectado un agujero de seguridad en la página web de una de las principales empresas del IBEX 35 que permite acceder a los datos de facturación de sus clientes.
Sinceramente que una asociación de consumidores se meta en esto, me parece un afán de notoriedad poco sano.
Espero por su bien que en el momento en que hagan la rueda de prensa la empresa ya haya solucionado el problema, y por otra parte, si no me equivoco con la gprd la empresa debería haber declarado que ha tenido una brecha de seguridad, cosa que que yo sepa ninguna empresa del ibex 35 ha hecho en los últimos días.
#12 Una cosa es que sea posible robar datos y otra cosa es que se haya producido tal robo. Se debe dar conocimiento de la pérdida de datos si realmente alguien los ha robado (lo que pasó con Typeform por ejemplo). https://alzado.org/articulo.php?id_art=1042
Es diferente a que "si haces X Y Z" podrías llegar a robar esos datos, pero de momento nadie lo ha hecho.
#13 si es información a la que un externo no debería tener acceso y sí que lo tiene es una brecha de seguridad que se debe notificar, no hace falta robar datos, nadie de fuera debería poder acceder a ellos y lo están haciendo, lo cual es peligro.
#10 Si es cierto lo que dice FACUA... la empresa tiene hasta 72 horas para notificar al organismo competente de que hay una brecha en la seguridad (esto es una brecha que permita borrar, modificar o acceder a información personal, almacenada o procesada por parte de personal no autorizado), si no lo notifica en ese periodo, cuando se notifique tiene que explicar el por qué y que cuele.
Ahora veremos qué empresa es (repito, de ser cierto lo que dice FACUA) y a ver cómo lo resuelven. En principio esto debería de acabar en multa, que se magnifica dependiendo de la cantidad de información que esté accesible...
#10 Pues aparentemente (después de leer la noticia) lo tienen documentado hasta ante notario. Veremos la que le cae a telefónica (aunque si han denunciado en España no creo que pase nada).
#21 Una vez actualizada la noticia, no veo mucho sentido que se le pidan multas, la empresa, movistar en este caso, que por cierto no es santo de mi devoción, ha resuelto el fallo en cuanto se lo han comunicado, y supongo que actuará conforme a la grpd y lo notificará en breve.
De todas maneras, yo soy el CEO de movistar, y si me siguen tocando los huevos con el tema, pido una auditoría externa para que se verifique que solo facua ha accedido a datos de terceros y de ser así voy a por ellos por vía legal, por jugar a ser hackers y tampear los sistemas de terceros sin permiso.
#25 El tema es que ahora Movistar tiene que ver a cuanta gente puede haber afectado (que hayan accedido a sus facturas) y ya es el organismo competente quien evaluará esa mierda digo yo.
Ir a por alguien que te anuncia una vulnerabilidad me parece una gilipollez, más cuando la han anunciado tras subsanarla, si hubiera sido antes igual sí que te diría que fueran a por ellos por aumentar el riesgo, igual que si hubiera sido una empresa en plan "o nos pagas o soltamos la bomba que nos hemos encontrado", pues también, pero a FACUA? Me parecería muy triste y de una bajeza moral ir a por una asociación de protección al consumidor cuyo trabajo es ese, proteger al consumidor, cuando la cagada ha sido de ellos.
Pero vamos, eso ya los organismos que se encarguen de la GRPD en decir quien es el culpable y quien paga. Al ser el propio organismo y no un "procesador de informacion" (un tercero) igual se libran, pero si la brecha la hubiese tenido "Gestiones Manolo" a la cual Telefónica le cede la información de sus clientes para tratarla... te aseguro yo que telefónica habría ido a por esa empresa con todo su poder legal.
#26 A mi no me parece ninguna gilipollez, se ha hecho contra gente que ha ido de buena fé, como para no poder hacerse contra unos que te asaltan los servidores para luego ir pidiendo multas a los organismos correspondientes.
Yo entiendo que facua se habrá cubierto las espaldas y solo habrán visto información de ellos mismos, si han traspasado la linea de irse a mirar facturas de terceros por ahí les pueden pillar bien. Luego que un juez pueda interpretar que incluso los datos de ellos mismos son propiedad de telefonica y han accedido a ellos sin permiso.
No se, a mi todo esto me parece muy turbio. ¿Tiene facua un servicio de seguridad que se está dedicando a buscar vulnerabilidades en los front end de empresas españolas sin permiso? ¿Ha sido un consumidor de facua el que les ha avisado de esto, y ellos, en vez de redirigirle a telefonica han preferido darse autobombo? ¿Por cuantas manos ha pasado la información del fallo antes de que se avisara a telefónica?
#27 Hmmm Entiendo lo que quieres decir, para mi teniendo en cuenta el tipo de fallo que es... tampoco creo que haga falta ir de hacker por cambiar una URL, igual hasta alguien de dentro que conocía el percal se ha chivado, vete tú a saber...
Esto ahora lo tendrá que mirar algún organismo, no? Estoy al tanto de lo que viene implicando el GDPR en términos de código y protección de la información, pero si hay algún incidente ya no tengo ni puta idea de cómo van a proceder, si auditoría, investigar posibles afectados o si les vale con que la empresa subsane el error, diga lo que era y qué ha puesto para prevenirlo.
Turbio por que lo ha destapado facua... no se, sí que es autobombo, pero... si un usuario se lo encuentra... igual ha ido a ellos pensandose que son ellos quienes deben actuar en estos casos? Ni puta idea, en ese punto sí que habrá que ver cómo termina, mientras tanto que Movistar se coma una multa no estaría de más, total, la meterán en la guantera del coche y a seguir aparcando donde les salga de los huevos...
#29 Cuanto más leo más me parece una forma torticera de proceder la de facua. Lo peor de todo esto es que parece que no van a aprender y les veo capaces de volver a hacerla.
A cualquier usuario que se encuentre "por casualidad" (no es casualidad obviamente, el usuario ha visto unos parámetros y ha pensado: Qué pasa si cambio esto...?) una vulnerabilidad en una web le diría:
1. Callate el fallo no lo des a conocer ni des detalles a absolutamente nadie que no corresponda.
2. Contacta con la empresa y pide que te ponga en contacto con el departamento de SIRT (Security Incident Response Team) o en su defecto con el CSO (Chief Security Officer) o en su defecto con el equipo o responsable de seguridad.
3. Cuando hayas contactado con esa persona le informas a él y solo a él de que has encontrado un fallo, le das detalles, capturas, lo que sea necesario para demostrar que el fallo existe y como verificarlo. Si puedes realizar este paso usando GPG para asegurar que solo esta persona recibe el mensaje mucho mejor.
4. Acuerdas con él un tiempo para revelar la existencia de la vulnerabilidad. Le pides que te mantenga informado. Dale tiempo, no seas un caga prisas.
5. Cuando pase ese tiempo le informas de que lo vas a hacer público, y que si no han corregido aún el problema te informe inmediatamente para darle unos días más.
6. Cuando el fallo ya esté corregido, haz lo que quieras con el, se lo cuentas a facua, lo publicas en tu blog, lo envías a full-disclosure, lo que quieras.
#14 Si lees más detenidamente, expresan que deben pasar 72 horas antes de notificar una infracción, para dar tiempo a la empresa y no incurrir en ilegalidad.
#18 Si seguro que sus razones tendrán, yo lo que digo es que no me gustan estas noticias sin detalles. Preferiría que esperasen esas horas y diesen el nombre o que, si creen que es tan importante publicar la noticia, se arriesguen a darlo.
editado:
Si antes lo digo, antes lo cambian. Ya hablan de Movistar en la noticia.
Mola esa imagen de la noticia en la que el código fuente rollo hacker/matrix es CSS, igual es un anticipo de la categoría de agujero truño que van a anunciar
Comentarios
Como no vayan con cuidado los denunciantes acaban en la cárcel.
#4 Fácil que sí...
Hola, soy Facua, hazme casito.
Sinceramente que una asociación de consumidores se meta en esto, me parece un afán de notoriedad poco sano.
Espero por su bien que en el momento en que hagan la rueda de prensa la empresa ya haya solucionado el problema, y por otra parte, si no me equivoco con la gprd la empresa debería haber declarado que ha tenido una brecha de seguridad, cosa que que yo sepa ninguna empresa del ibex 35 ha hecho en los últimos días.
#10 tampoco nos flipemos. Es un problema de protección de datos que si puede afectar a derechos de los consumidores. No es tan irrelevante.
#12 Una cosa es que sea posible robar datos y otra cosa es que se haya producido tal robo. Se debe dar conocimiento de la pérdida de datos si realmente alguien los ha robado (lo que pasó con Typeform por ejemplo). https://alzado.org/articulo.php?id_art=1042
Es diferente a que "si haces X Y Z" podrías llegar a robar esos datos, pero de momento nadie lo ha hecho.
#13 si es información a la que un externo no debería tener acceso y sí que lo tiene es una brecha de seguridad que se debe notificar, no hace falta robar datos, nadie de fuera debería poder acceder a ellos y lo están haciendo, lo cual es peligro.
#10 Si es cierto lo que dice FACUA... la empresa tiene hasta 72 horas para notificar al organismo competente de que hay una brecha en la seguridad (esto es una brecha que permita borrar, modificar o acceder a información personal, almacenada o procesada por parte de personal no autorizado), si no lo notifica en ese periodo, cuando se notifique tiene que explicar el por qué y que cuele.
Ahora veremos qué empresa es (repito, de ser cierto lo que dice FACUA) y a ver cómo lo resuelven. En principio esto debería de acabar en multa, que se magnifica dependiendo de la cantidad de información que esté accesible...
#10 Acabas de descubrir como funciona Facua
#10 Pues aparentemente (después de leer la noticia) lo tienen documentado hasta ante notario. Veremos la que le cae a telefónica (aunque si han denunciado en España no creo que pase nada).
#21 Una vez actualizada la noticia, no veo mucho sentido que se le pidan multas, la empresa, movistar en este caso, que por cierto no es santo de mi devoción, ha resuelto el fallo en cuanto se lo han comunicado, y supongo que actuará conforme a la grpd y lo notificará en breve.
De todas maneras, yo soy el CEO de movistar, y si me siguen tocando los huevos con el tema, pido una auditoría externa para que se verifique que solo facua ha accedido a datos de terceros y de ser así voy a por ellos por vía legal, por jugar a ser hackers y tampear los sistemas de terceros sin permiso.
#25 El tema es que ahora Movistar tiene que ver a cuanta gente puede haber afectado (que hayan accedido a sus facturas) y ya es el organismo competente quien evaluará esa mierda digo yo.
Ir a por alguien que te anuncia una vulnerabilidad me parece una gilipollez, más cuando la han anunciado tras subsanarla, si hubiera sido antes igual sí que te diría que fueran a por ellos por aumentar el riesgo, igual que si hubiera sido una empresa en plan "o nos pagas o soltamos la bomba que nos hemos encontrado", pues también, pero a FACUA? Me parecería muy triste y de una bajeza moral ir a por una asociación de protección al consumidor cuyo trabajo es ese, proteger al consumidor, cuando la cagada ha sido de ellos.
Pero vamos, eso ya los organismos que se encarguen de la GRPD en decir quien es el culpable y quien paga. Al ser el propio organismo y no un "procesador de informacion" (un tercero) igual se libran, pero si la brecha la hubiese tenido "Gestiones Manolo" a la cual Telefónica le cede la información de sus clientes para tratarla... te aseguro yo que telefónica habría ido a por esa empresa con todo su poder legal.
#26 A mi no me parece ninguna gilipollez, se ha hecho contra gente que ha ido de buena fé, como para no poder hacerse contra unos que te asaltan los servidores para luego ir pidiendo multas a los organismos correspondientes.
Yo entiendo que facua se habrá cubierto las espaldas y solo habrán visto información de ellos mismos, si han traspasado la linea de irse a mirar facturas de terceros por ahí les pueden pillar bien. Luego que un juez pueda interpretar que incluso los datos de ellos mismos son propiedad de telefonica y han accedido a ellos sin permiso.
No se, a mi todo esto me parece muy turbio. ¿Tiene facua un servicio de seguridad que se está dedicando a buscar vulnerabilidades en los front end de empresas españolas sin permiso? ¿Ha sido un consumidor de facua el que les ha avisado de esto, y ellos, en vez de redirigirle a telefonica han preferido darse autobombo? ¿Por cuantas manos ha pasado la información del fallo antes de que se avisara a telefónica?
#27 Hmmm Entiendo lo que quieres decir, para mi teniendo en cuenta el tipo de fallo que es... tampoco creo que haga falta ir de hacker por cambiar una URL, igual hasta alguien de dentro que conocía el percal se ha chivado, vete tú a saber...
Esto ahora lo tendrá que mirar algún organismo, no? Estoy al tanto de lo que viene implicando el GDPR en términos de código y protección de la información, pero si hay algún incidente ya no tengo ni puta idea de cómo van a proceder, si auditoría, investigar posibles afectados o si les vale con que la empresa subsane el error, diga lo que era y qué ha puesto para prevenirlo.
Turbio por que lo ha destapado facua... no se, sí que es autobombo, pero... si un usuario se lo encuentra... igual ha ido a ellos pensandose que son ellos quienes deben actuar en estos casos? Ni puta idea, en ese punto sí que habrá que ver cómo termina, mientras tanto que Movistar se coma una multa no estaría de más, total, la meterán en la guantera del coche y a seguir aparcando donde les salga de los huevos...
#27 Me cago en mi vida, peor no lo podrían haber hecho...
Facua conocía el fallo en Telefónica desde el jueves, pero se lo ocultó hasta el domingo
Facua conocía el fallo en Telefónica desde el juev...
lainformacion.comAl menos avisa a Telefónica después de pasar por el notario o algo! La virgen.... pues sí que se esperaron, sí.
#29 Cuanto más leo más me parece una forma torticera de proceder la de facua. Lo peor de todo esto es que parece que no van a aprender y les veo capaces de volver a hacerla.
A cualquier usuario que se encuentre "por casualidad" (no es casualidad obviamente, el usuario ha visto unos parámetros y ha pensado: Qué pasa si cambio esto...?) una vulnerabilidad en una web le diría:
1. Callate el fallo no lo des a conocer ni des detalles a absolutamente nadie que no corresponda.
2. Contacta con la empresa y pide que te ponga en contacto con el departamento de SIRT (Security Incident Response Team) o en su defecto con el CSO (Chief Security Officer) o en su defecto con el equipo o responsable de seguridad.
3. Cuando hayas contactado con esa persona le informas a él y solo a él de que has encontrado un fallo, le das detalles, capturas, lo que sea necesario para demostrar que el fallo existe y como verificarlo. Si puedes realizar este paso usando GPG para asegurar que solo esta persona recibe el mensaje mucho mejor.
4. Acuerdas con él un tiempo para revelar la existencia de la vulnerabilidad. Le pides que te mantenga informado. Dale tiempo, no seas un caga prisas.
5. Cuando pase ese tiempo le informas de que lo vas a hacer público, y que si no han corregido aún el problema te informe inmediatamente para darle unos días más.
6. Cuando el fallo ya esté corregido, haz lo que quieras con el, se lo cuentas a facua, lo publicas en tu blog, lo envías a full-disclosure, lo que quieras.
Será “un agujero de inseguridad”
#6 Prefiero el término "bujero".
No me gustan las noticias donde no se identifica al protagonista. Si eres un cagáo no te metas a denunciar.
#14 Si lees más detenidamente, expresan que deben pasar 72 horas antes de notificar una infracción, para dar tiempo a la empresa y no incurrir en ilegalidad.
#18 Si seguro que sus razones tendrán, yo lo que digo es que no me gustan estas noticias sin detalles. Preferiría que esperasen esas horas y diesen el nombre o que, si creen que es tan importante publicar la noticia, se arriesguen a darlo.
Mola esa imagen de la noticia en la que el código fuente rollo hacker/matrix es CSS, igual es un anticipo de la categoría de agujero truño que van a anunciar
Facua denuncia un "agujero de seguridad" en la web de Movistar que ha dejado a la vista datos de clientes
https://www.20minutos.es/noticia/3395823/0/facua-telefonica-fallo-seguridad-movistar/
Con alegría ! Que todo el mundo se entere de todo...
Ke empresa es?
#1 Telefónica?
#3 Si lo dices al tun tun tienes un 2,9% de posibilidades de acertarlo
#5 Los de GasNatural hace unos años: BD abierta y pass "sa".
#1 #3 y #5 Sí, es Telefónica: Telefónica tapa un agujero de seguridad que dejó al descubierto millones de datos de sus clientes
Telefónica tapa un agujero de seguridad que dejó a...
elespanol.com#20 No estaba una juancker con gorrito de lana muy conocido a cargo de la seguridad?