BUG en vodafone. Fallo de privacidad en las facturas online.Cambiando los "numeritos"(docId) obtienes la factura de otra persona. Una imagen vale más que mil palabras. http://www.rotochan.com/imgboard/g/src/127315164919.png
#1:
Pues nada, que le metan un paquete por no cumplir la LOPD.
#10:
#9 Independientemente de eso, es un fallo de diseño, no del sistema
Me juego lo que querais a que Vodafone ha subcontratado el diseño e implementacion a la empresa SmokeSolutions. Y esta, para ampliar el margen de beneficios ha cogido a 4 becarios, y con la cantinela de "Sr. Minglanilla, esta es la oportunidad de su vida, le vamos a poner a diseñar la aplicación, confiamos en usted", han diseñado una chapucilla.
Paga con cacahuetes, y tendrás monos... (con todos mis respetos a los becarios, que poca culpa tendrán)
#11:
#9 Mecagüen... me he leído tu comentario 3 veces y no he conseguido entender nada, absolutamente nada.
editado:
En la superPoP no te suelen hablar de estos temas...
#9:
#8 Todo depende de la pasta que quieras invertir en seguridad e infraestructuras. Ten en cuenta que normalmente tienes una granja de servidores (por lo menos en nuestro caso) que se encargan de generar los informes, para eso esta ajp y el balanceo de carga, y tenemos picos de más de 50.000 usuarios.
Concretamente en nuestro caso tenemos 20 servidores jboss clusterizados, luego, mediante Apache (también clusterizados) se hace el balanceo de carga utilizando ajp, ya que ajp es capaz de ver la carga del servidor y elegir en cada momento cual es el más adecuado.
Además y para rizar el rizo, también puedes jugar con los nombres dns y hacer un pseudo balanceo de carga (pseudo porque en este caso utiliza un algoritmo parecido a Round Robin).
#5:
Ay esas variables de sesion que no se comprueban bien.... $_SESSION['iduser'];
#5 Y bueno, tampoco estaría de más que los informes se generaran en tiempo de ejecución, algo tipo jasper reports, de manera que el fichero se enviara mediante un stream tipo Application/pdf, de esta forma no hay ningún fichero físico que se pueda descargar.
#8 Todo depende de la pasta que quieras invertir en seguridad e infraestructuras. Ten en cuenta que normalmente tienes una granja de servidores (por lo menos en nuestro caso) que se encargan de generar los informes, para eso esta ajp y el balanceo de carga, y tenemos picos de más de 50.000 usuarios.
Concretamente en nuestro caso tenemos 20 servidores jboss clusterizados, luego, mediante Apache (también clusterizados) se hace el balanceo de carga utilizando ajp, ya que ajp es capaz de ver la carga del servidor y elegir en cada momento cual es el más adecuado.
Además y para rizar el rizo, también puedes jugar con los nombres dns y hacer un pseudo balanceo de carga (pseudo porque en este caso utiliza un algoritmo parecido a Round Robin).
#9 Independientemente de eso, es un fallo de diseño, no del sistema
Me juego lo que querais a que Vodafone ha subcontratado el diseño e implementacion a la empresa SmokeSolutions. Y esta, para ampliar el margen de beneficios ha cogido a 4 becarios, y con la cantinela de "Sr. Minglanilla, esta es la oportunidad de su vida, le vamos a poner a diseñar la aplicación, confiamos en usted", han diseñado una chapucilla.
Paga con cacahuetes, y tendrás monos... (con todos mis respetos a los becarios, que poca culpa tendrán)
#6 De hecho la URL esta quizá ya lo está haciendo, lo de generar un fichero PDF que envía por stream, porque guardar millones de PDF's no lo veo muy práctico. Una rutina calcula las facturas, se guardan en la BBDD, i el formato papel se confecciona bajo demanda. Muy bien optimizada, es una arquitectura factible.
De todas formas, este fallo es de aficionados, es para decirle cuatro cosas al programador que lo hizo....
Sólo un programador de tres al cuarto pasa datos críticos o sensibles por la URL y encima sin hacer comprobaciones. Espero le caiga un buen puro a Vodafone por no invertir lo suficiente en la seguridad de sus propios clientes.
Cada día me sorprende más lo infravalorado que está el campo de la informática en nuestro país. Al final, aprenderemos por las malas.
Qué grande. Exactamente lo mismo pasaba con los expedientes de mi universidad hace unos años. En época de exámenes era un entretenimiento buenísimo, me sabía las notas de media universidad. Hay que ver la cantidad de gente que paga asignaturas durante años sin presentarse...
#12 Y en vez de poner una denuncia por atentar contra la privacidad de millones de personas, te conformaste con eso? Si es que nos vendemos por dos duros...
#4 Cómo que "va por orden"? Tu vecino y tú disteis el alta el mismo día, un segundo después?
#21 No lo se, pero si cambias los últimos numero del final del parametro DocID creo que era (estan en hexadecimal) pues los ultimos ocinciden a gente de tu zona, de mi municipio, he probado a cambiar posiciones mas bajas, bits más significativos y sale ya gente de zonas mas alejadas, debe de ser algun tipo de parametro que ordena por zona, no lo se realmente.
#34 En la barra de navegacion es el penúltimo parametro, prueba que funciona, yo me baje como 20 facturas de gente diferente de mi municipo todos, evidentemente las borre, era solo para evaluar el bug que es DE ORDAGO.
Vodafone, dice? Vaya, qué sorpresa. Yo antes era cliente, tenía un móvil de contrato y una tarjeta para el módem usb, también de contrato. Hasta que un día alguien "robó" ambos números e hizo chorrocientas llamadas a Senegal por un importe de unos 1800 euros (y eso que Vodafone se dio cuenta antes de 24 horas). A mí me suspendieron el servicio, me hicieron ir y venir, me marearon lo que quisieron y para más inri no me decían qué era exactamente lo que ocurría.
Al cabo de una semana más o menos (cuando yo ya había comprado otra tarjeta, claro) me dicen que la mía ya funciona, pero que tengo que pasar por un centro Vodafone para activarla y comprobar mi identidad, y tal y cual (cuando ya había pasado no una, sino dos o tres veces). Lógicamente, los mandé a la mierda, y los muy cachondos me enviaron dos o tres facturas más desde entonces pretendiendo cobrar los 9 euros del mínimo.
Cuando llegó la factura a mi casa y me di cuenta de lo que realmente había pasado, los llamé para cagarme en sus muertos y el hombre del departamento de calidad (ja, ja, calidad) me decía que a ellos no les habían robado los datos (no, hombre, sin yo perder ninguna tarjeta qué casualidad que los mismos fulanos se apoderaran de mis dos números, seguro que fue aleatoriamente), y que no me preocupara en absoluto, que ellos ya sabían que ese gasto no había sido generado por mí, que me olvidara de la factura, y esto y lo otro.
Como no me fiaba nada, me presenté en la comisaría con la susodicha factura para interponer una denuncia. En cuanto le expliqué a la agente que me atendió el tema, me pregunta "Eres de Vodafone?" Eso debió de ser otra casualidad, fijo.
Pero lo mejor es que, a los pocos días, giran la factura contra mi cuenta. Con dos cojones. Obviamente, la devolví, y al poco tiempo me enviaron una factura correcta, rectificada. Pero es que a los dos o tres meses, ya no me acuerdo, volvieron a intentar cobrar ese importe cargándolo en mi cuenta. Vamos, el puñetero colmo.
Creo que queda claro lo que opino de Vodafone y de su seguridad, no?
A ver si de una puñetera vez, se les mete caña a las empresas de telecomunicación en estos temas, entre eso y lo que quieren hacer en la UE con la tasa Google...
Está claro que nuestros datos no están protegidos y cualquiera puede tener acceso a ellos, desde cartas que se tiran sin romper y donde aparece nuestra dirección, empresas que comercializan con nuestros datos. listas de notas de exámenes o de otro tipo que se cuelgan en Internet con DNI incluído etc.
Y ya ni hablemos de las compañías telefónicas!!Hoy en día con el DNI de una persona se puede hacer muchas cosas por eso no entiendo como no hay una cierta protección de nuestros datos personales. Sí, contamos con una ley pero a la hora de la verdad todo son problemas y de protección poca...
Aprovecho para pedir que si alguien abre mi factura, que a ver si me puede echar una mano y me la explica... Tengo la seria sospecha de que me facturan mal, pero no entiendo la factura
La página de Vodafone es una basura, no se si lo cambiarían, pero hace poco podías acceder a cualquier cuenta sabiendo su numero de teléfono, por la fuerza bruta.
Esos fallos en la validación de los parámetros de las peticiones son bastante habituales. Yo los he visto en equipos con desarrolladores con varios años de experiencia y siendo por lo menos la mitad ingenieros informáticos... Luego dirán que pusieron a becarios o físicos
Para evitar estas cosas no hay nada como usar herramientas de auditoría de seguridad en aplicaciones web.
Comentarios
Pues nada, que le metan un paquete por no cumplir la LOPD.
Ay esas variables de sesion que no se comprueban bien.... $_SESSION['iduser'];
#5 Y bueno, tampoco estaría de más que los informes se generaran en tiempo de ejecución, algo tipo jasper reports, de manera que el fichero se enviara mediante un stream tipo Application/pdf, de esta forma no hay ningún fichero físico que se pueda descargar.
#6 Creo que está fuera de lugar, podrían tener picos de demanda de facturas...
#8 Todo depende de la pasta que quieras invertir en seguridad e infraestructuras. Ten en cuenta que normalmente tienes una granja de servidores (por lo menos en nuestro caso) que se encargan de generar los informes, para eso esta ajp y el balanceo de carga, y tenemos picos de más de 50.000 usuarios.
Concretamente en nuestro caso tenemos 20 servidores jboss clusterizados, luego, mediante Apache (también clusterizados) se hace el balanceo de carga utilizando ajp, ya que ajp es capaz de ver la carga del servidor y elegir en cada momento cual es el más adecuado.
Además y para rizar el rizo, también puedes jugar con los nombres dns y hacer un pseudo balanceo de carga (pseudo porque en este caso utiliza un algoritmo parecido a Round Robin).
#9 Independientemente de eso, es un fallo de diseño, no del sistema
Me juego lo que querais a que Vodafone ha subcontratado el diseño e implementacion a la empresa SmokeSolutions. Y esta, para ampliar el margen de beneficios ha cogido a 4 becarios, y con la cantinela de "Sr. Minglanilla, esta es la oportunidad de su vida, le vamos a poner a diseñar la aplicación, confiamos en usted", han diseñado una chapucilla.
Paga con cacahuetes, y tendrás monos... (con todos mis respetos a los becarios, que poca culpa tendrán)
#9 Mecagüen... me he leído tu comentario 3 veces y no he conseguido entender nada, absolutamente nada.
![:lol: lol](https://cdn.mnmstatic.net/v_149/img/menemojis/36/lol.gif)
#9 Jodo, yo que pensaba que con un cambio de QueryString a Form o Session se solucionaba todo
Lo siento por la frikada #14 pero me lo pedía el cuerpo.
#6 De hecho la URL esta quizá ya lo está haciendo, lo de generar un fichero PDF que envía por stream, porque guardar millones de PDF's no lo veo muy práctico. Una rutina calcula las facturas, se guardan en la BBDD, i el formato papel se confecciona bajo demanda. Muy bien optimizada, es una arquitectura factible.
De todas formas, este fallo es de aficionados, es para decirle cuatro cosas al programador que lo hizo....
Es muy grave, porque se pueden sacar muchos, demasiados datos, de una factura de teléfono. Es de los fallos más graves que he visto.
#0
Fallo de seguridad en la screen. ¿Asiq chodivo@gmail.com usa vodafone?
Espero que les metan un buen paquete, voy a dar cuenta a FACUA.
Un fallo muy similar a este otro: Un fallo de seguridad compromete los datos de millones de españoles
Un fallo de seguridad compromete los datos de mill...
samuelparra.comSólo un programador de tres al cuarto pasa datos críticos o sensibles por la URL y encima sin hacer comprobaciones. Espero le caiga un buen puro a Vodafone por no invertir lo suficiente en la seguridad de sus propios clientes.
Cada día me sorprende más lo infravalorado que está el campo de la informática en nuestro país. Al final, aprenderemos por las malas.
Yo voy a por la ñapa rapida
Donde dice where idfactura=@idfactura
deberia decir where idfactura=@idfactura and idusuario=@idusuario
siendo@idusuario un dato privado.
Ala, y asi tres años mas.
Qué grande. Exactamente lo mismo pasaba con los expedientes de mi universidad hace unos años. En época de exámenes era un entretenimiento buenísimo, me sabía las notas de media universidad. Hay que ver la cantidad de gente que paga asignaturas durante años sin presentarse...
Acojonante, lo acabo de probar y ha salidoi la factura de un vecino mio, van por orden si cambiais los ultimos digitos del paramebro
vergonzoso!
#12 Y en vez de poner una denuncia por atentar contra la privacidad de millones de personas, te conformaste con eso? Si es que nos vendemos por dos duros...
#4 Cómo que "va por orden"? Tu vecino y tú disteis el alta el mismo día, un segundo después?
#21 No lo se, pero si cambias los últimos numero del final del parametro DocID creo que era (estan en hexadecimal) pues los ultimos ocinciden a gente de tu zona, de mi municipio, he probado a cambiar posiciones mas bajas, bits más significativos y sale ya gente de zonas mas alejadas, debe de ser algun tipo de parametro que ordena por zona, no lo se realmente.
#34 En la barra de navegacion es el penúltimo parametro, prueba que funciona, yo me baje como 20 facturas de gente diferente de mi municipo todos, evidentemente las borre, era solo para evaluar el bug que es DE ORDAGO.
Vodafone, dice? Vaya, qué sorpresa. Yo antes era cliente, tenía un móvil de contrato y una tarjeta para el módem usb, también de contrato. Hasta que un día alguien "robó" ambos números e hizo chorrocientas llamadas a Senegal por un importe de unos 1800 euros (y eso que Vodafone se dio cuenta antes de 24 horas). A mí me suspendieron el servicio, me hicieron ir y venir, me marearon lo que quisieron y para más inri no me decían qué era exactamente lo que ocurría.
Al cabo de una semana más o menos (cuando yo ya había comprado otra tarjeta, claro) me dicen que la mía ya funciona, pero que tengo que pasar por un centro Vodafone para activarla y comprobar mi identidad, y tal y cual (cuando ya había pasado no una, sino dos o tres veces). Lógicamente, los mandé a la mierda, y los muy cachondos me enviaron dos o tres facturas más desde entonces pretendiendo cobrar los 9 euros del mínimo.
Cuando llegó la factura a mi casa y me di cuenta de lo que realmente había pasado, los llamé para cagarme en sus muertos y el hombre del departamento de calidad (ja, ja, calidad) me decía que a ellos no les habían robado los datos (no, hombre, sin yo perder ninguna tarjeta qué casualidad que los mismos fulanos se apoderaran de mis dos números, seguro que fue aleatoriamente), y que no me preocupara en absoluto, que ellos ya sabían que ese gasto no había sido generado por mí, que me olvidara de la factura, y esto y lo otro.
Como no me fiaba nada, me presenté en la comisaría con la susodicha factura para interponer una denuncia. En cuanto le expliqué a la agente que me atendió el tema, me pregunta "Eres de Vodafone?" Eso debió de ser otra casualidad, fijo.
Pero lo mejor es que, a los pocos días, giran la factura contra mi cuenta. Con dos cojones. Obviamente, la devolví, y al poco tiempo me enviaron una factura correcta, rectificada. Pero es que a los dos o tres meses, ya no me acuerdo, volvieron a intentar cobrar ese importe cargándolo en mi cuenta. Vamos, el puñetero colmo.
Creo que queda claro lo que opino de Vodafone y de su seguridad, no?
VODAFAIL.....
Es un fallo de verdaderos novatos.
Manda huevos...[/trillo]
Pues a mi siempre me baja mi factura aunque cambie los numeritos del final...
es lo que tiene pasar datos delicados por GET y no controlar bien las variables que se utilizan...
Me lo estoy pasando teta llamando al 123 y dando parte jajajaj
haced lo mismo
Pues si alguien se encuentra la mia mientras va probando y quiere pagarla yo no tengo ningún problema.
Menudo "Fallo informático"
A ver si de una puñetera vez, se les mete caña a las empresas de telecomunicación en estos temas, entre eso y lo que quieren hacer en la UE con la tasa Google...
Está claro que nuestros datos no están protegidos y cualquiera puede tener acceso a ellos, desde cartas que se tiran sin romper y donde aparece nuestra dirección, empresas que comercializan con nuestros datos. listas de notas de exámenes o de otro tipo que se cuelgan en Internet con DNI incluído etc.
Y ya ni hablemos de las compañías telefónicas!!Hoy en día con el DNI de una persona se puede hacer muchas cosas por eso no entiendo como no hay una cierta protección de nuestros datos personales. Sí, contamos con una ley pero a la hora de la verdad todo son problemas y de protección poca...
y no es la única, si coges un móvil ajeno y llamas al 123 con la opción de cambiar factura te dice donde tienes actualmente domiciliada la misma...
Aprovecho para pedir que si alguien abre mi factura, que a ver si me puede echar una mano y me la explica... Tengo la seria sospecha de que me facturan mal, pero no entiendo la factura
La página de Vodafone es una basura, no se si lo cambiarían, pero hace poco podías acceder a cualquier cuenta sabiendo su numero de teléfono, por la fuerza bruta.
Esos fallos en la validación de los parámetros de las peticiones son bastante habituales. Yo los he visto en equipos con desarrolladores con varios años de experiencia y siendo por lo menos la mitad ingenieros informáticos... Luego dirán que pusieron a becarios o físicos![:roll: roll](https://cdn.mnmstatic.net/v_149/img/menemojis/36/roll.gif)
Para evitar estas cosas no hay nada como usar herramientas de auditoría de seguridad en aplicaciones web.
Algo parecido pasaba con Telefónica, podías ver los datos de la línea de cualquier cliente, sus averías, servicios contratados...
Envié un email un tanto amenazante y una vez arreglado, hace un mes que recibí una carta de agradecimiento y un móvil sin ningún coste.
Pues nada, lo que tenéis que hacer es pasaros todos a Orange. Sin duda.
![:roll: roll](https://cdn.mnmstatic.net/v_149/img/menemojis/36/roll.gif)
He comentado que soy promotora? Para los valencianos, mas información vía notame.
Ps- Lo que no he mencionado, pero os imaginareis, es que comisiono por ventas, jejeje...
#17 si cuela cuela
#17 Eres como Flanders haciendo spam
#17 Si trabajases en postventa no dirías lo mismo!