Telefónica soluciona un grave fallo de seguridad que exponía los datos de millones de clientes
Durante la madrugada del domingo al lunes, es decir, hace unas pocas horas, Telefónica ha terminado de parchear un agujero de seguridad que había puesto en riesgo millones de datos de sus clientes. Según FACUA, el fallo de programación ha sido detectado en la página de Movistar y ha permitido acceder a los datos de facturación de sus clientes. Esta organización dará más detalles en los próximos minutos.
Según podemos leer en El Español, Telefónica ha experimentado una brecha de seguridad que ha dejado expuestos millones de datos de sus clientes, siendo parcheada en las últimas horas. Todo se precipitó en la madrugada del domingo al lunes debido a que FACUA iba a hacer publica la existencia de esta brecha de seguridad.
Brecha de seguridad en la web de Movistar con acceso a los datos de facturación de sus clientes
Esta vulnerabilidad tendría cierto parecido con la experimentada por Lexnet el pasado año pudiendo ser aprovechada por cualquier para obtener los datos de millones de clientes sin necesidad de tener demasiados conocimientos técnicos. Un tercero podía recuperar datos de facturación con las líneas fijas y móviles, nombre, apellidos, DNI, dirección de facturación, correo electrónico, banco de domiciliación de las facturas o histórico de facturación.
Todo esto podía descargarse en archivos CVS fácilmente procesables a través de Excel. Los usuarios sólo tenían que estar logueados en el sistema, realizar un pequeño cambio en la URL y descargar los datos de otras personas. Esto supone que se podía acceder aleatoriamente a datos de terceros, pero nada impedía crear un programa para aprovechar la vulnerabilidad de forma masiva.
Se desconocen aspectos clave como cuánto tiempo ha estado presente la vulnerabilidad en los sistemas de Telefónica y si ha sido aprovechada por algún usuario en ese tiempo. La solución, aplicada de urgencia en las últimas horas, ha pasado por eliminar algunas funciones de la web mientras se trabaja en la corrección definitiva del problema.
En los próximos minutos tendremos más detalles y es posible que también conozcamos en unas horas o días la postura de la Agencia Española de Protección de Datos (AEPD). Según este diario, una violación de este tipo podría ser calificada como grave bajo el Reglamento General de Protección de Datos (RGPD).