Telefónica deja al descubierto datos personales de clientes

[Raham]

La página web de Telefónica deja al descubierto los datos personales de sus clientes  
 
La operadora niega problemas de seguridad y responsabiliza a los propios abonados  
 
   
 23-06-2004 CADENASER.COM  
 
   
  El diseño de la página www.telefonicaonline.com permite que cualquiera, usando el servicio de recordatorio de contraseñas y la lógica, acceda al espacio personal de los clientes de Telefónica, en el que se pueden consultar facturas, contratar servicios, realizar compras y enviar mensajes SMS con cargo a la factura telefónica del abonado. Telefónica afirma que el sistema es seguro y culpa a los clientes por elegir preguntas secretas cuya respuesta es evidente.  
           
 
Telefónica ofrece a sus clientes a través de esta página la posibilidad de gestionar online los servicios de la operadora. No todos los abonados de la empresa de telefonía están dados de alta en telefonicaonline.com, pues el servicio ha de ser solicitado por el titular de la línea.
Según ha podido comprobar CADENASER.com a raíz de un error cometido por un cliente de Telefónica que accedió sin querer a los datos de otra persona, el sistema de telefonicaonline.com no es como el que está presente en otros sitios de Internet. La mayoría de servicios que piden a los usuarios el uso de contraseñas funcionan de la siguiente forma: cuando alguien olvida su contraseña, se le hace una pregunta secreta que él mismo eligió. Si responde adecuadamente, el sistema le enviará un correo electrónico a una dirección conocida especificando la vieja contraseña y ofreciendo la opción de cambiarla. Hay servicios que incluso regeneran la contraseña (crean una nueva) para dar más seguridad al proceso.

UNA RESPUESTA QUE SIRVE DE CONTRASEÑA

Pero en el caso de telefonicaonline.com las cosas funcionan de tal manera que no es necesario ser un experto informático para acceder a los datos de muchos usuarios sin conocer su contraseña.

Al intentar acceder a una cuenta, la página ofrece la posibilidad de fallar por tres veces la identificación de un usuario. Llegados a este punto es necesario dar con un nombre de usuario válido, algo relativamente sencillo si se prueba con nombres y apellidos comunes en España. Hecho esto, se nos propone recordarnos la contraseña. Al elegir esta opción la página muestra una ventana en la que debemos contestar a la pregunta secreta del usuario en cuya sesión intentamos entrar.

Cuando la respuesta a estas preguntas es evidente o puede resolverse probando varias posibilidades, la trampa está hecha. Porque, según ha podido comprobar CADENASER.com, en el sistema de Telefónica la respuesta a la pregunta secreta puede ser utilizada como contraseña para el usuario en cuestión. Esto es, averiguando la respuesta a la pregunta secreta se accede, sin conocer la contraseña, a la zona privada de los clientes.

TODO TIPO DE INFORMACIÓN PERSONAL Y FINANCIERA

Entre los datos a los que se puede acceder una vez dentro de la cuenta del usuario se encuentran los números bancarios de éste. También es posible servirse de los servicios contratados, modificarlos o cancelarlos.

Hay un servicio de consultas en el que podremos plantear dudas sobre facturas, por ejemplo, o retrasos en instalaciones pendientes, siempre en nombre del cliente a cuya cuenta hemos accedido. Quizás el servicio más utilizado sea la 'e-factura', por la que se accede a facturas pasadas y pendientes de pago, además de poder conocer lo que se lleva consumido en todos los servicios contratados. Una lista de ellos también puede consultarse en esta web.

Telefónica ofrece la posibilidad de realizar diversas gestiones, como la consulta y modificación de los datos que la operadora tiene del usuario, los que se contienen en la factura electrónica, y las preasignaciones (servicios que permiten realizar siempre las llamadas con la operadora que se desee sin tener que marcar antes del número un prefijo).

TELEFÓNICA CULPA A LOS USUARIOS

Consultada por CADENASER.com sobre este asunto, Telefónica afirma que “no hay fuga de datos” en el servicio que ofrece telefonicaonline.com y asegura que el procedimiento de autentificación de usuarios “cumple todas las auditorias” de seguridad.

Sobre la posibilidad de utilizar un sistema que notifique al usuario por correo su contraseña o le envíe una nueva, la operadora afirma que se trata de un procedimiento más inseguro, pues podría provocar que trabajadores de la empresa conocieran las claves de sus clientes, algo, afirma la operadora, prohibido por la ley.

Además, Telefónica asegura que cuando se ofrece a los usuarios la posibilidad de elegir una pregunta y una respuesta secretas para que recurra a ellas en caso de olvidar la contraseña, se les advierte que deben utilizar datos que sólo ellos conocen. El que no lo hagan, el hecho de que planteen preguntas cuya respuesta es evidente, permite que otras personas accedan a sus cuentas. Por eso, Telefónica achaca la responsabilidad del problema a los clientes.
 

Ese último párrafo con el que se justifica Telefónica es una absoluta falacia. No es cierto que el administrador pueda saber la password con el método de "envio de password al correo del usuario". Pero bueno, yo he trabajado para esta gente, y si sus chapuzas resultan evidentes desde fuera, desde dentro es difícil llegar a imaginar lo completamente incompetentes que son, no ya los trabajadores, sino los directivos. Si supiéseis la cagada que hicieron con unas licencias de productos para un cliente muy importante (una importantísima marca de refrescos) cuando Telefónica Data hospedaba su web...

[MaDMaX]

Wenoooo eso pasaba en terra tb, no es na nuevo xD lo que me hace gracia es lo de la privacidad de los datos de los usuarios.. yo he llegado a tener bases de datos de los clientes con todos los datos de un monton de operadoras xD

[Corleone]

Y encima la culpa es de los usuarios dicen...un morro q se lo pisan vamos

[Raham]

Telefónicaonline.com modifica el servicio que permitía el acceso a los datos de sus clientes  
 
Abogados especializados piden al Gobierno que "eleve el listón legislativo" en materia de seguridad  
 
 24-06-2004 CADENASER.COM  
   
  La vulnerabilidad en la identificación de usuarios de telefónicaonline.com ha suscitado críticas dentro del sector. La operadora introdujo ayer por la tarde cambios el sistema de recordatorio de contraseña, que consideraba perfectamente seguro apenas unas horas antes. La asociación de consumidores Facua considera que Telefónica debe mejorar sus sistemas de seguridad, mientras el bufete de abogados Almeida, especializados en Nuevas Tecnologías, pide a la Administración que ponga “el listón legislativo más arriba” para evitar vulnerabilidades que ahora son legales.  

En la tarde de ayer Telefónica on line modificóel servicio de recordatorio de contraseña. Ahora, cuando se quiere pedir al sistema que nos recuerde la clave, se nos solicitan más datos, como la fecha e importe de una factura pasada.
La Federación de Asociaciones de Consumidores y Usuarios (FACUA) se puso ayer en contacto con Telefónica tras conocer la vulnerabilidad detectada por ELPAIS.es para solicitarles una mejora de sus sistemas de identificación de usuarios. En su opinión los argumentos expuestos por la operadora no tienen mucho sentido y apuestan por implementar un sistema de reenvío de contraseña que Telefónica rechaza.

FACUA considera además que la compañía debería tener personal con un sistema de seguridad más alto que garantizase la identificación de los usuarios y pudiese autorizar el reenvío seguro de contraseñas. FACUA afirma además que el sistema de reenvío de contraseñas es el más utilizado. Alertados por esta vulnerabilidad la Federación ha comprobado que el sistema de atención telefónica para clientes también tiene deficiencias.

ALMEIDA PIDE QUE SE SUBA EL "LISTÓN LEGAL"

En el bufete de abogados Almeida (uno de los pioneros a la hora de abordar asuntos relacionados con las Nuevas Tecnologías) recuerdan que Telefónica cumple escrupulosamente con la legislación vigente. En Almeida Abogados hacen hincapié en el hecho de que el ‘Aviso Legal’ de la página web de Telefónica les exculpa a ojos de la Justicia y deja caer toda la responsabilidad en los usuarios.

Para Almeida el problema es que el “listón legal” está demasiado bajo y permite este tipo de disfunciones. El bufete reclama un texto legal más exigente con los protocolos de identificación y seguridad. Mientras tanto recomiendan a los usuarios que sean más prudentes y compliquen sus contraseñas. Para Almeida el problema no es tanto la contraseña sino la obviedad de algunas preguntas.