Diego Nicolás Sisto, estudiante de Ingenieria en Sistema de la Universidad de Buenos Aires, detectó una vulnerabilidad en el portal online de Movistar Argentina que permitía acceder al registro de llamadas y mensajes de cualquier usuario. El bug fue reportado en la noche del lunes y, horas después, fue solucionado por el operador de telefonía móvil.
Según indicó Sisto en su blog, la primera vez que detectó la falla en enero y ayer comprobó que seguía vigente. Al revisar sus movimientos notó lo mucho que tardaban las peticiones, por lo que entró al modo desarrollador del browser para observar como se realizaba la petición HTTP.
Como expusó en su entrada, las peticiones HTTP pueden tener una serie de parámetros que se envían al servidor. En el caso de Movistar, los parámetros incluían el número de línea y el periodo de tiempo del cual se quieren consultar los movimientos de la línea.
@MovistarArg, les econtré un bug de seguridad. Yo lo llamaría grave: http://t.co/0vgIGT8VUL
— Diego Nicolás Sisto (@suelopoder) April 15, 2014
Sisto notó que, al cambiar su número por otro, podía ver los movimientos de esa línea. El resultado se repitió con todas las líneas Movistar ingresadas.
La operadora, atendiendo al llamado de atención del estudiante, cambió los parámetros de su sitio. A partir de hoy, y hasta nuevo aviso, no podrán realizarse consultas sobre movimientos de ningún tipo.
vomistar es lo peor, lejos! tuve las tres empresas.
Siempre creí que la porquería era Claro, y pensaba que en un futuro cercano terminaría en Vomistar. Pero la montaña mas alta de malas noticias son de esta última.
No está solucionado entonces, lo bloquearon, nada más, no se puede utilizar, no funciona.
Hay una gran diferencia entre solucionar el problema y ocultarlo!!!
Patéticos… es un error de lo mas básico de la programación web.
De seguro le van a agradecer con 2 pesos de credito que se vence 1 dia despues de la recarga :v
Lo mismo reporte, con su servicio de Autenticación; su nusoap falló “Validaremos la siguiente información” Esa fue su respuesta