Movistar Colombia y los SMS públicos: fallo de seguridad

Un fallo de seguridad que te permitía ver todos los SMS enviados desde una aplicación gratuita en el sitio de Movistar, con logs detallados de horario y número de destino, logs que además estuvieron expuestos más de un año. Sólo en Colombia.

4 Estos archivos contienen miles de mensajes de texto (algunos bastante explícitos) con datos detallados del destinatario.

Recuerdo que la primera persona a la que vi hablando acerca de esto fue a @ocioweb hace ya casi cinco meses. Inicialmente no presté mucha atención, hasta el fin de semana pasado cuando volvió a traer atención sobre el tema, específicamente señalando que era inconcebible que el bug no hubiera sido arreglado después de tantos meses.

Screen Shot 2013-06-06 at 2.17.09 PMLa aplicación “culpable” del bug

Lo realmente escandaloso del asunto es la facilidad con la cual se podía acceder a estos logs: acceder al directorio principal del sitio mediante una revisión nivel kindergardent al código fuente de esta página. Me explota la cabeza, además, al pensar que todos estos archivos eran públicos:

31-700x300Hacking nivel: preescolar

¿Cómo una empresa tan grande pudo permitir esta clase de falencia? la respuesta es Colombia. De cualquier modo, los SMS recuperados fueron material de comedia durante todo el fin de semana, constatando una vez más que en Colombia la infidelidad es trending topic todos los días, así como la mediocridad en seguridad digital. El fallo ya fue solucionado, demasiado tarde:

Screen Shot 2013-06-06 at 3.02.57 PM

Imagenes vía WebSecurity.

Anuncios