Descubierto Agujero de Seguridad en Telefonica: Empleados Incompetentes
Acabo de toparme con algo realmente indignante.
Acostumbrado a los cansinos pero seguros controles de seguridad que empresas online como Ing Direct te hacen para autenticarte en su sistema telefónico, me he encontrado con el sistema de seguridad que usa telefónica para tal menester.
Me proponÃa a entrar a telefonicaonline.com para revisar una factura de ADSL de 95 euros que me parecia un poco sospechosa (me han cobrao conceptos de más, pero vamos esa es otra historia, es lo de siempre, si cuela cuela) cuando me he dado cuenta de que no recordaba ni el usuario ni la contraseña con el que me registré.
Para empezar, en la misma página de telefonicaonline.com te dicen el nombre de usuario solamente con poner tu telefono y dni, dato que no es muy dificil de averiguar. Pues bien, los he introducido y me han dado el usuario. Ahora que ya tengo el usuario puedo recuperar la contraseña desde otro formulario de la web. Aqui meto el usuario y otra vez el dni y paso al siguiente punto, en el cual me pide que ponga la numeracion de la ultima factura y el importe total. Como aún no la he recibido he llamado al 1004 y me han pasado con un ciudadano extranjero, lo he notado por el acento, no se exactamente de qué pais ni me importa.
Aquà os transcribo la conversación mantenida:
- Le atiende (un nombre raro) en que puedo ayudarle.
- Hola, estoy intentando recuperar mi contraseña de telefonicaonline.com pero no tengo la última factura. ¿Podria usted resetearme la contraseña?
- ¿Contraseña de qué?
- De telefonicaonline, para poder ver mis facturas por la web.
-Pues… no se, pero si necesita la ultima factura…digame su numero de teléfono
-*********
- Un momento… Sr Martinez, anote, TA923191923 y el importe es de 95,23
- Muchas gracias
Como veis, he conseguido el usuario y la contraseña simplemente sabiendo el numero de telefono y el dni del titular, sin mas preguntas, llamando desde un movil vodafone, por el que no me podian reconocer si quiera, en el caso de que miren eso.
No se qué parche tendran que instalar en el sistema para tapar el agujero, ya que en este caso el agujero es humano, pero vamos, no creo que tomen ninguna medida ya que a telefonica nuestra seguridad y nuestros datos personales se la traen floja. Lo unico que le interesa es cobrarnos y en cualquier ocasion que puedan meternosla doblada como me han hecho a mi este mes, que me han cobrado “KIT ADSL 39,90″ cuando llevo ya 3 meses con el adsl funcionando y además el kit es gratuito.