Facua descubre una brecha de seguridad que exponía las facturas de movistar

Facua descubre una brecha de seguridad que exponía las facturas de movistar

Movistar, una de las compañías de telecomunicaciones más grande de Espeña, que lega de la anterior empresa publica Telefonica, lleva desde hace unos años ofreciendo a sus clientes la opción de consultar sus facturas de forma interactiva por el área cliente de su web. Las facturas claramente disponen de datos como paquete de productos, datos del titular de la línea, desglose de llamadas, sms y datos consumidos, etc…

El identificador de facturas

Este es un numero que depende del tipo de factura, por ejemplo para las facturas mensuales de movistar fusión, tiene el siguiente formato YYYXXZZZZZZZZ, siendo:

  • Y : dígito alfanumérico que no varia por cliente, suele empezar por A.
  • X : dígito alfanumérico.
  • Z : dígito numérico.
    Habiendo una cantidad inmensa de IDs posibles, más o menos hay 1x10^22 IDs, que claramente se reducen si se conocen los tres primeros dígitos.

PD: No conocemos bien el funcionamiento de este identificador, pero por comparación intuimos que tiene este formato.

¿Comprobar que la factura es del cliente?. La brecha

Por lo que ha informado FACUA y la información que hemos podido obtener, Movistar daba acceso a la facturas interactivas a través de un parámetro “query” que es el id de la factura, aunque la medida de seguridad era comprobar que el usuario había iniciado sesión, pero no comprobar que la factura que mostraba correspondía a ese usuario.
Por lo tanto la URL de acceso a esta brecha tiene el siguiente formato:

  • https://www.movistar.es/mimovistar-cliente/es-es/c_particulares/cclivr/facturainteractiva.html#?cf=<ID de factura>&ln=LNF

La posibilidad de filtración

Calculado que la pagina soporte perfectamente unas 10000 peticiones por segundo (Usa apache + java, ademas de ser una gran empresa que dispone de bastantes servidores) e intuyendo que todas las facturas de Fusión empiezan por A, un atacante habría tardado aproximadamente 3x10^19 años, lo que no lo hace muy viable, ademas de que Movistar podría detectar este ataque y teniendo una sesión iniciada, identificar al atacante.

Sin embargo, esto no quita que crackers con tiempo y creatividad consiguieran acceder de otra manera a los IDs de facturas y pudieran obtenerlas por esta brecha.

La denuncia de FACUA y la "solución" de Movistar

Citamos lo expresado por FACUA a traves de su web:

En la mañana de este lunes, FACUA ha presentado una denuncia contra Telefónica de España y Telefónica Móviles ante la Agencia Española de Protección de Datos (AEPD), a la que ha solicitado la apertura de un expediente sancionador contra la multinacional española de telecomunicaciones.

FACUA comunicó la existencia del agujero a responsables de Movistar en la tarde del domingo. Durante esta madrugada,** la compañía ha eliminado funcionalidades de su web para evitar que los datos de sus clientes continuasen expuestos.** Así, en la mañana del lunes ya no es posible acceder a la versión online de las facturas emitidas desde agosto de 2017. Este medio día, responsables de la compañía han mantenido una reunión con dirigentes de la asociación para tartar el problema.

Curiosidad: Ojo por ojo, diente por diente

El twittero Pesadilla en la web descubrió también un error en la web de FACUA que permite insertar código HTML en una url de la web, el cual sera cargado por la página. Lo que permite engañar al usuario, ya que al abrir el url creerá que la pagina mostrada es legitima de FACUA, pero puede tener un contenido de un atacante. Este es el formato:

  • https://www.facua.org/es/txt/index.php?&donde=6&seleccion=noticias&tematica=<Codigo HTML>&IdAmbito=21&pg=2

El error fue corregido en 2 Horas.

Read more