OFF-Topic

Los datos alojados en Vodafone.es no están...

bloodhound
bloodhound #1 Dic '11 Diamond hands

... seguros.

Hago c&p de la web de un amigo mio:

Descuido en Vodafone.es permite acceder a cualquier cuenta de usuario y obtener datos de cualquier teléfono.

?Esto? está descubierto y reportado desde hace más de medio año? He intercambiado mails y conversaciones telefónicas con Vodafone y con la propia policia (GDT). Tenia un post explicándolo todo detalladamente además de un PDF que mandé a ambas partes, pero visto que no lo arreglan nunca, no lo voy a publicar. Lo que haré será un mini resumen, y se acabó, ya que quiero olvidarme de este tema completamente.

Antes de nada os hago un spoiler: no es nada del otro mundo. Solo es una muestra de cómo una absurda tonteria, nos permite hacer cosas que no deberiamos. Es más, esto indica que este descuido es realmente grave, ya que cualquiera puede explotarlo.

Empezaré con el debate respecto al título elegido de esta entrada. Ojalá hubiera podido poner ?Bug en Vodafone.es?? o ?Fallo de seguridad/Vulnerabilidad..?. En fin, múltiples son los adjetivos para ello. Pero no, pongo descuido por no poner incompetencia, ya que guardar en una cookie el nombre de usuario (teléfono) y la contraseña (encripada, pero eso da igual) no es un fallo de programación, no es un bug, no es una vulnerabilidad? es ser un incompetente. Menciono también que tiene XSSs varios, sin ir más lejos, creo recordar que el propio buscador tenía.

Como dije anteriormente, voy a ser breve, y no voy a dar detalles. Solo decir esto: no seas gilipollas.

Como dice el título, este descuido nos permite meternos en la cuenta de usuario a partir únicamente de su número de teléfono. Y si no tiene cuenta, también nos lo permite porque le podemos registrar nosotros mismos.
Uno de los orígenes de este problema, es que si le damos a ?olvidar contraseña?, podemos poner el número de teléfono objetivo y nuestra dirección de correo. Nos mandan una clave numerica de 4 digitos al movil para que la introduzcamos y establezcamos una nueva contraseña. Pues bien, podemos hacer fuerza bruta tranquilamente que al final, daremos con esa clave que no puede ser otra que alguna entre 0000 y 9999. Una forma para hacer fuerza bruta sin ser un 5uP3RH4X0R es usar el iMacros para Firefox, haciendo:

SET !LOOP 1000
URL GOTO=http://canalonline.vodafone.es/cpar/do/alta/changePassword?uuid=XXXXXXXX&claveAntigua={{!loop}}&claveNueva=1234&rePassword=1234

(Esta iría desde 1000 hasta 9999, y estableceria como nueva contraseña 1234).
Así que nada, después de esto ya podemos meternos en la cuenta. Pero no podemos acceder a todos los datos, que pena. No podemos porque tenemos que ser titular, y para eso, tenemos que validarnos. ¿Como? Pues hay varias formas. Una de ellas es introduciendo los 4 últimos dígitos de nuestra cuenta bancaria asociada.

¿Otra vez 4 números? Esto me suena de antes? Exacto. iMacros de nuevo. Y claro, si aquí tampoco ponemos nada que nos impida un bruteforce como un captcha o una expiración de la sesión, pues igualmente podemos petarlo. Y efectivamente, se puede.

Datos comprometidos (entre otros tantos): DNI, nombre, dirección postal, factura electrónica (con mas telefonos claro, que a su vez igual tambien son de Vodafone), códigos PIN y PUK (ideal por si robamos un teléfono verdad?)?

Yo flipo con las empresas. Pero sobretodo con su pasotismo a la hora de no arreglar nada, ni contactar conmigo siquiera. En fin?

Conclusiones:
-Se puede bruteforcear todo vodafone.es sin problemas
-Se puede robar una cookie con datos como la contraseña y usuario para suplantarse (ya que presenta varios XSS).
-Poned un puto captcha! de una vez.
-Insisto en que la gravedad de este asunto es que es demasiado fácil realizar esto, no hay que ser un experto ni tener conocimientos de nada.
-Seria curioso saber cuantas leyes se pasan por el forro los de Vodafone, como la de las auditorias (a saber si las hacen siquiera, o si les hacen caso), sin contar con las que hacen mención a que hay que proteger bien los datos.

Dato adicional: Vodafone no es la única compañia de telecomunicaciones cuya identidad de sus usuarios se basa en algo tan simple. Aunque lo de guardar en la cookie las password, todavia me sigue costando creerlo. Ahí lo dejo caer?

¿Qué opináis de que se la sude que cualquiera pueda acceder a nuestros datos?
Yo no tengo cuenta en vodafone, pero como consumidor me siento ofendido.

Fuente: Delanover

EDIT: Se había hecho mal el copy paste. Sorry

Sputnik1
Sputnik1 #2 Dic '11 Stephenie Meyer

Yo añado otro detalle: si llamas en nombre de otra persona, como si eres un tío y hablas en nombre de tu novia/al contrario, te dejan hacer de todo, desde contratar, pedir un teléfono y descontratar.

Vamos, que aparte de lo que has dicho además si te roban la mochila, o el bolso, con móvil y documentación vas bien servido con Vodafone.

#3 Cuando a mí me daba pereza hacer trámites pedía que los hicieran por mí y en Vodafone no pedían ni la mitad de los datos que tú dices, es un cachondeo, por eso lo digo.

1 respuesta
RubaPowa
RubaPowa #3 Dic '11 Pandástico

#2

Teoricamente para saber que eres tu te piden la clave de acceso y en caso de no tenerla te piden dni, nombre del banco y direccion de facturacion .

No pueden hacer mas para intentar verificar la identidad del que habla .

1 respuesta
bloodhound
bloodhound #4 Dic '11 Diamond hands

Joder, parece que no os importa mucho. XD

muanhiaru
muanhiaru #5 Dic '11

Yo tengo Carrefour Movil así que... :cool:

Usuarios habituales

  • muanhiaru
  • bloodhound
  • RubaPowa
  • Sputnik1

Tags