15 abril, 2014
Diego Nicolás Sisto, estudiante de Ingenieria en Sistema de la Universidad de Buenos Aires, detectó una vulnerabilidad en el portal online de Movistar Argentina que permitía acceder al registro de llamadas y mensajes de cualquier usuario. El bug fue reportado en la noche del lunes y, horas después, fue solucionado por el operador de telefonía móvil.
Según indicó Sisto en su blog, la primera vez que detectó la falla en enero y ayer comprobó que seguía vigente. Al revisar sus movimientos notó lo mucho que tardaban las peticiones, por lo que entró al modo desarrollador del browser para observar como se realizaba la petición HTTP.
Como expusó en su entrada, las peticiones HTTP pueden tener una serie de parámetros que se envían al servidor. En el caso de Movistar, los parámetros incluían el número de línea y el periodo de tiempo del cual se quieren consultar los movimientos de la línea.
@MovistarArg, les econtré un bug de seguridad. Yo lo llamaría grave: http://t.co/0vgIGT8VUL
— Diego Nicolás Sisto (@suelopoder) April 15, 2014
Sisto notó que, al cambiar su número por otro, podía ver los movimientos de esa línea. El resultado se repitió con todas las líneas Movistar ingresadas.
La operadora, atendiendo al llamado de atención del estudiante, cambió los parámetros de su sitio. A partir de hoy, y hasta nuevo aviso, no podrán realizarse consultas sobre movimientos de ningún tipo.