Eli
74meneos

Agujero de seguridad en Telefónica: Empleados incompetentes

www.elblogdelgrupo.com/index.php/descubierto-agujero-de-segu... 
por Valen el 16-07-2008 15:21 UTC

Gracias a los operadores de telefónica, para obtener la clave de acceso a telefonicaonline.net (desde donde puedes consultar facturas, contratar servicios, darte de baja, etc.) basta con conocer el DNI y el número de teléfono del titular. (Ahora puedes putear a tus amigos xD) NOTA: Lo ha posteado otra persona en MI blog, votaréis spam pero me ha parecido interesante...

 13 comentarios en: tecnología, seguridad karma: 192
etiquetas: telefónica, móviles, tecnología, seguridad
negativos: 6  usuarios: 67  anónimos: 7  compartir:  twitter  facebook  friendfeed
  1. #1   » ver comentario
    por --57706-- el 16-07-2008 15:25 UTC
  2. #2   #1: ¿y?
    votos: 3, karma: 38
    por kaleborroka el 16-07-2008 15:25 UTC
  3. #3   Si es verdad lo que dice la noticia me parece gravísimo. Timofónica debería tomar medidas urgentes.
    votos: 3, karma: 29
    por Crispal el 16-07-2008 15:27 UTC
  4. #4   Yo diria que eso no es ninguna novedad, hace años que la cosa funciona así en Telefónica...
    votos: 0, karma: 7
    por limonitaparda el 16-07-2008 15:44 UTC
  5. #5   Oyeeee pos eso está muy bien ¿problemas con tu vecino? le coges una factura de teléfono del buzón y con el número y el dni q vienen en la factura y el número q tb viene y a contratarle la tarifa más cara y to lo q se t ocurra... si en el fondo va a llevar su camino telefónica y les sale bien a ellos jeje
    votos: 0, karma: 6
    por Ali1982 el 16-07-2008 15:47 UTC
  6. #6   Hay casos muchísimo más graves, por ejemplo, en edu365.cat pones el nombre y la fecha de nacimiento de cualquier estudiante catalán y te da la dirección postal.
    votos: 0, karma: 6
    por Annihilator el 16-07-2008 18:07 UTC
  7. #7   El agujero en este caso es que un tipo por teléfono te de unos datos que deberían ser confidenciales, pero hasta donde yo sé, necesitas tener tú el móvil en tu mano cuando te inscribas, así que además de tener su número de DNI y su número de teléfono debes robarle el móvil a esa otra persona. Al menos antes enviaban un sms con la clave que usarás para conectarte. No es gran cosa, pero por esa regla de tres todos los sistemas de identificación en red son un timo (ej: mi caja me envía una tarjetita con coordenadas y para entrar tecleo unos datos, un pin y luego la coordenada que envían a mi móvil)
    votos: 1, karma: 22
    por Alecto el 16-07-2008 20:36 UTC
  8. #8   Amarillista y ligeramente errónea. El que te atiende debe solicitarte el dni del titular que, de no hacerlo, no está cumpliendo con su trabajo correctamente. El dni, por cierto, es un dato personal.

    Y si te parece un agujero de telefonica, dale más bien las gracias a la Agencia de Protección de Datos, pues ha sido esta quien ha dado permiso a telefonica (y filiales por tanto) para poder copiar en esos paises (posiblemente Perú en tu caso) las bases de datos de los clientes, como si allí hubiese una reglamentación al respecto que, además, se cumpliese.

    Se avisó en su momento y nadie dijo ni mú... ¿ahora nos quejamos?
    votos: 1, karma: 17
    por Tensk el 16-07-2008 21:09 UTC
  9. #9   » ver comentario
    por --94973-- el 16-07-2008 23:08 UTC
  10. #10   » ver comentario
    por --17701-- el 17-07-2008 09:46 UTC
  11. #11   #9 ¿ Cómo se supone que se puede saber si es realmente el titular si es por teléfono? En cantidad de cosas es así, es una mierda, pero si sabes 4 datos de alguien hasta le puedes hacer un seguro de fallecimiento y ponerte a ti mismo de beneficiario. Esto pasa en todas las empresas, y el que estafa realmente es el que suplanta la identidad.

    La ley es así, un p*** mierda.
    votos: 0, karma: 8
    por Patrix el 17-07-2008 11:55 UTC
  12. #12   #9 he dicho ligeramente errónea. Ya sé que tu dni lo pueden "saber" en muchos sitios, acabarán pidiéndolo hasta para ir al kiosco, pero una cosa es el que lo tengan y otra es que lo puedan usar.

    Cuando una empresa, organismo oficial, loquesea, tiene unos determinados datos, y estos son de carácter personal, primero ha tenido que declarar con qué fin, con qué motivo los tiene, y no usarlos para otro, en cuyo caso incurre en una falta, delito o lo que derive aquella acción que realice.

    Otra cosa es lo fácil o difícil que resulte descubrirlos etc. pero la ley es así.

    A mayores, me gustaría saber qué se te ocurre a ti como método infalible para que se pueda saber vía telefónica que quien llama es realmente el titular.

    #10 en telefonicaonline.com puedes contratar y dar de baja todo igual que si fuese por teléfono, con alguna pequeña excepción, pero básicamente sí, es el caso dos.

    Como dice #11, el que estafa es quien suplanta la identidad. Y es un poco desagradable poner en el titular "empleados incompetentes", como generalizando.
    votos: 1, karma: 17
    por Tensk el 17-07-2008 22:28 UTC
  13. #13   Pues por ejemplo en ING Direct, tienes que introducir 3 numeros aleatorios de una clave secreta de 6 digitos. Y para cambiar dicha clave te hacen 5 preguntas tambien aleatorias como, el ultimo digito de tu cuenta con mas saldo, o cuantas transferencias has hecho este mes, etc...

    Tambien me serviria que te mandaran la clave por sms al movil por ejemplo, o no se se me ocurren muchos metodos...

    Y si, el titular generaliza un poco, pero es que "generalmente" en telefónica tienen a empleados incompetentes, muchas veces incluso trabajando en sedes sudamericanas y sin pajolera idea de lo que estan haciendo.
    votos: 0, karma: 6
    por belio el 18-07-2008 13:03 UTC
comentarios cerrados

menéame