EDICIóN GENERAL
246 meneos
1784 clics
Agujero de seguridad en una empresa del IBEX35 permite acceder a los datos de facturación de los clientes

Agujero de seguridad en una empresa del IBEX35 permite acceder a los datos de facturación de los clientes

Consumidores en Acción ha detectado un agujero de seguridad en la página web de una de las principales empresas del IBEX 35 que permite acceder a los datos de facturación de sus clientes.

| etiquetas: seguridad , empresa , ibex35
Ke empresa es?
#1 Telefónica?
#3 Si lo dices al tun tun tienes un 2,9% de posibilidades de acertarlo
#5 Los de GasNatural hace unos años: BD abierta y pass "sa".
#20 No estaba una juancker con gorrito de lana muy conocido a cargo de la seguridad?
Hola, soy Facua, hazme casito.
Como no vayan con cuidado los denunciantes acaban en la cárcel.
#4 Fácil que sí...
Será “un agujero de inseguridad”
#6 Prefiero el término "bujero".
Con alegría ! Que todo el mundo se entere de todo... :troll:
Sinceramente que una asociación de consumidores se meta en esto, me parece un afán de notoriedad poco sano.

Espero por su bien que en el momento en que hagan la rueda de prensa la empresa ya haya solucionado el problema, y por otra parte, si no me equivoco con la gprd la empresa debería haber declarado que ha tenido una brecha de seguridad, cosa que que yo sepa ninguna empresa del ibex 35 ha hecho en los últimos días.
#10 tampoco nos flipemos. Es un problema de protección de datos que si puede afectar a derechos de los consumidores. No es tan irrelevante.
#12 Una cosa es que sea posible robar datos y otra cosa es que se haya producido tal robo. Se debe dar conocimiento de la pérdida de datos si realmente alguien los ha robado (lo que pasó con Typeform por ejemplo). alzado.org/articulo.php?id_art=1042
Es diferente a que "si haces X Y Z" podrías llegar a robar esos datos, pero de momento nadie lo ha hecho.
#13 si es información a la que un externo no debería tener acceso y sí que lo tiene es una brecha de seguridad que se debe notificar, no hace falta robar datos, nadie de fuera debería poder acceder a ellos y lo están haciendo, lo cual es peligro.
#10 Si es cierto lo que dice FACUA... la empresa tiene hasta 72 horas para notificar al organismo competente de que hay una brecha en la seguridad (esto es una brecha que permita borrar, modificar o acceder a información personal, almacenada o procesada por parte de personal no autorizado), si no lo notifica en ese periodo, cuando se notifique tiene que explicar el por qué y que cuele.

Ahora veremos qué empresa es (repito, de ser cierto lo que dice FACUA) y a ver cómo lo resuelven. En principio esto debería de acabar en multa, que se magnifica dependiendo de la cantidad de información que esté accesible...
#10 Acabas de descubrir como funciona Facua xD
#10 Pues aparentemente (después de leer la noticia) lo tienen documentado hasta ante notario. Veremos la que le cae a telefónica (aunque si han denunciado en España no creo que pase nada).
#21 Una vez actualizada la noticia, no veo mucho sentido que se le pidan multas, la empresa, movistar en este caso, que por cierto no es santo de mi devoción, ha resuelto el fallo en cuanto se lo han comunicado, y supongo que actuará conforme a la grpd y lo notificará en breve.
De todas maneras, yo soy el CEO de movistar, y si me siguen tocando los huevos con el tema, pido una auditoría externa para que se verifique que solo facua ha accedido a datos de terceros y de ser así voy a por ellos por vía legal, por jugar a ser hackers y tampear los sistemas de terceros sin permiso.
#25 El tema es que ahora Movistar tiene que ver a cuanta gente puede haber afectado (que hayan accedido a sus facturas) y ya es el organismo competente quien evaluará esa mierda digo yo.

Ir a por alguien que te anuncia una vulnerabilidad me parece una gilipollez, más cuando la han anunciado tras subsanarla, si hubiera sido antes igual sí que te diría que fueran a por ellos por aumentar el riesgo, igual que si hubiera sido una empresa en plan "o nos pagas o soltamos la bomba que nos hemos…   » ver todo el comentario
#26 A mi no me parece ninguna gilipollez, se ha hecho contra gente que ha ido de buena fé, como para no poder hacerse contra unos que te asaltan los servidores para luego ir pidiendo multas a los organismos correspondientes.

Yo entiendo que facua se habrá cubierto las espaldas y solo habrán visto información de ellos mismos, si han traspasado la linea de irse a mirar facturas de terceros por ahí les pueden pillar bien. Luego que un juez pueda interpretar que incluso los datos de ellos mismos…   » ver todo el comentario
#27 Hmmm Entiendo lo que quieres decir, para mi teniendo en cuenta el tipo de fallo que es... tampoco creo que haga falta ir de hacker por cambiar una URL, igual hasta alguien de dentro que conocía el percal se ha chivado, vete tú a saber...

Esto ahora lo tendrá que mirar algún organismo, no? Estoy al tanto de lo que viene implicando el GDPR en términos de código y protección de la información, pero si hay algún incidente ya no tengo ni puta idea de cómo van a proceder, si auditoría,…   » ver todo el comentario
#27 Me cago en mi vida, peor no lo podrían haber hecho...

www.meneame.net/story/facua-conocia-fallo-telefonica-desde-jueves-pero

Al menos avisa a Telefónica después de pasar por el notario o algo! La virgen.... pues sí que se esperaron, sí.
#29 Cuanto más leo más me parece una forma torticera de proceder la de facua. Lo peor de todo esto es que parece que no van a aprender y les veo capaces de volver a hacerla.

A cualquier usuario que se encuentre "por casualidad" (no es casualidad obviamente, el usuario ha visto unos parámetros y ha pensado: Qué pasa si cambio esto...?) una vulnerabilidad en una web le diría:

1. Callate el fallo no lo des a conocer ni des detalles a absolutamente nadie que no corresponda.
2. Contacta…   » ver todo el comentario
Mola esa imagen de la noticia en la que el código fuente rollo hacker/matrix es CSS, igual es un anticipo de la categoría de agujero truño que van a anunciar
No me gustan las noticias donde no se identifica al protagonista. Si eres un cagáo no te metas a denunciar.
#14 Si lees más detenidamente, expresan que deben pasar 72 horas antes de notificar una infracción, para dar tiempo a la empresa y no incurrir en ilegalidad.
#18 Si seguro que sus razones tendrán, yo lo que digo es que no me gustan estas noticias sin detalles. Preferiría que esperasen esas horas y diesen el nombre o que, si creen que es tan importante publicar la noticia, se arriesguen a darlo.

EDIT: Si antes lo digo, antes lo cambian. Ya hablan de Movistar en la noticia.
Facua denuncia un "agujero de seguridad" en la web de Movistar que ha dejado a la vista datos de clientes

www.20minutos.es/noticia/3395823/0/facua-telefonica-fallo-seguridad-mo
comentarios cerrados

menéame