Expuestos los datos de facturacion de los clientes de ya.com

Me he quedado mudo. No podré hablar en lo k va de noche

Me he puesto en contacto con el email de servicio de atencion al cliente de ya.com... pero ya se sabe a la velocidad que lo leen. Pero creo que esto es mejor que se sepa, puesto que de otra manera no se aprende de los errores. Yo mismo soy programador web... y este tipo de cosas es de las primeras que se evita. No comprobar la sesion del usuario es lo minimo. Con una linea de codigo se hace....

Me parece bochornoso que una compañia de la "categoría" de Ya.com tenga descuidos de semejante magnitud. Y me parece lamentable que saqueis la URL para verlo y encima la captura con la factura de un cliente. La pobre Eva, sin comerlo ni beberlo, se va a encontrar con que todo el mundo puede ver su teléfono y número de cuenta... Si, vale que es facil encontrar la URL y explotar el bug, pero por lo menos no deis facilidades no? En cuanto a Ya.com, la multa que deberían de poner a esta compañía debiera ser tan gorda que escrmentasen y contratasen a gente eficiente para hacer sus webs. Estoy indignado, la verdad, que asco

Lo primero, dar el metodo para obtener dichas facturas... d pena, vale q hayas dao con el fallo pero no des facilidades para q mas d uno pille datos d tal calibre. Se pone el screen y se le dice a ya.com como has obtenidos esos datos.

Ahora lo he intentado hacer y una d dos, o ya esta solucionado o no se hacerlo, pero vamos he seguido todos los pasos (gracias otra vez...) Ojala sea lo primero, q estos penosos personajes hayan arreglado este bug. A ver si entra el PLC y me doy d baja d esta gran mierda.com

¿¿¿¿Pero sois tontos, lerdos, subnormales o todo junto????? Ponéis la URL en cuestión y ale, tan campantes. QUITAD ESA URL YA!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

Si se descubre un fallo de ese tipo, se lo comunicas al web-master o a quien sea de ya.com por e-mail y TE CIERRAS LA PUÑETERA BOCA. No se hace publicidad y se pone el link para que todo el mundo compruebe que es cierto. Mal por parte de ya.com por ser tan chapuceros, pero increíblemente pésimo el hecho de que el que se ha dado cuenta lo haya publicado dando la URL en cuestión y su usage. Puedes anunciar el fallo una vez lo hayas comunicado y éste haya sido arreglado... NO ANTES. Un poco de sentido común no vendría mal.

La virgen...

pos eso, porque es un negligencia y muy grave...

Primero esta empresa no se deberia considerar como empresa de telecomunicaciones...ya que es una mera revendedora del servicio que ofrece telefonica.(por mucha licencia que tenga para ello)

Segundo siempre han sido unos chapuceros y nunca se han preocupado del cliente cuando tenia problemas que solia ser muy a menudo...pero por lo que veo tampoco se preocupan de él en algo tan basico como hacer cumplir la ley de proteccion de datos.

Tercero.Considero que todos los usuarios a los que se ha desprotegido haciendo publicos sus datos(LA TOTALIDAD).Estan en su derecho de denunciarles y exigir daños y perjuicios.

Cuarto.Considero oportuna una intervencion ejemplar del ministerio de ciencia y tecnologia a traves de la Secretaria de Estado de las Telecomunicaciones y para la sociedad de la informacion,con una investigacion a semejante negligencia,una multa ejemplarizante y la retirada de la licencia para revender este servicio por falta muy grave.

Vaya cagada..por cierto esto no atenta contra la Lssi....

Por ultimo aconsejar a todos los usuarios de semejante desmadre de empresa que se den de baja ipso-facto.

Noticia interesante... pero mal llevada

Lo primero q no me parece correcto poner los apellidos de esa persona.

Lo segundo q si dices el número de factura entonces da = que tapes la información que quieras en la foto.

Lo tercero... esa nota del moderador sobra, por dios!!!!!!!!!

Tras avisar al servicio técnico de Ya.com a la mayor urgencia, si quieres publicas la noticia sin tantos detalles aquí, pero lo primero es actuar.

No se debería postear la URL ni esa foto. Si yo fuera moderador, me lo hubiera pensado mucho antes de publicar eso... Salu2.

P.D.: más tacto señores, q son datos bancarios, teléfonos, dni, apellidos, direcciones...

"Gracias" moderador, apuesto a que tu no tienes ya.com

UN SALUDO.

Despues de leer los mensajes criticando ese fallo pienso que el que ha escrito el artículo ha hecho muy bien en hacerlo antes público que avisar el webmaster, el porqué, pues muy simple, hay mucísima gente trabajando de webmaster que su nivel de seguridad es patético, eso se tiene que erradicar, la persona que ha hecho esa mierda de web tiene que pagar las consequencias y perder su trabajo, seguramente viendo lo que ha desarrollado será un puto enchufado. HAY MUCHA GENTE JOVEN CAPACITADA PARA TRABAJAR Y MUCHA GENTE ENCHUFADA, eso hay que cortarlo por lo sano.

Un 10 para el articulista, que se jodan pero ja los putos inútiles enchufados que joden a los jóvenes.

PD: he trabajdo de webmaster 9 meses y lo primero que he cuidado es la seguridad, y eso que eran webs de intranet, lo que ha hecho ese enurgumeno no tiene nombre, ese tio en su puta vida tendría que trabajar de webmaster otra vez.

Hola, os cuento como va este tema xqe me toca muy cercano.

Resulta qe a los 'programadores' los eligen del ciclo formativo, donde por supuesto se mete todo tipo de gente, simplemente xqe es la profesion de moda, y aunqe ya esta petada, siguen metiendose xqe parece qe da trabajo de sobra..

el caso esqe al seleccionarlos eligen mas por el aspecto o la nota qe pueda sacar qe por los conocimientos reales qe pueda tener la persona.

yo no soy una maqina, pero obviamente se programar y tengo experiencia previa en paginas web. El caso es qe al tener solo 20 años, no vestir de traje, y aun teniendo unas notas altas, me qede fuera de este curro. Resulta qe estuve a un paso de trabajar en ya.com haciendo este tipo de paginas.

Asi qe si luego pasan este tipo de cosas, culpad mas a la compañia qe no sabe seleccionar el personal, qe a un pobre chico/chica qe ha programado solo lo qe le han mandado en clase y no sabe ni qe es un hash o el md5...

en la empresa en la qe estoy ahora hay dias qe cuando veo a un conocido haciendo una web o un programa me da de todo, pensando en cuando en el ciclo ponia inpusbox en el visual basic, o no sabia ni definir las variables.

igual los qe estais un poco fuera del negocio os parece algo exagerado, pero cualqiera qe sea del mundillo me dara la razon.

un saludo, y ojala los departamentos de rrhh cambien algun dia!! :P

Hace un ratillo he consultado mi factura y las han puesto en formato pdf para descargar. A ver si así es seguro.

Si se publica un bug asi públicamente antes de avisar y que se solucione, sospecho que desde el punto de vista de Ya.com el que ha hecho el 'full disclosure' ese es responsable.

Si me dejo la casa abierta y te das cuenta, si lo comentas en la radio de forma que todos los potenciales ladrones de la ciudad puedan entrar a robar, creeme que tienes una resposabilidad ante el robo.

Pero no llego a asegurar que en este caso sea igual.

Esta mañana cuando he visto la noticia me he quedado de piedra. No me podía creer lo que estaba leyendo. Evidentemente el problema parece que ya está solucionado pero de todas formas me preocupa el que ya se haya explotado este bug por parte de algunos mal intencionados que pululan por ahí, y por eso me he estado informando sobre que podría suceder si a algún desaprensivo se le ocurre usar mi número de cuenta con mis datos para poder realizar algún pago o algún cargo a mi cuenta y por lo que me han comentado la cosa no es tan sencilla. Al parecer si se realiza un cargo a mi cuenta sin mi autorización firmada, el banco está obligado a devolverme el dinero que me ha retirado por el cargo por carecer de dicha autorización. Esto es lo que me han comentado aunque no estoy totalmente seguro, iré a consultarlo al banco para asegurarme totalmente. Otra cosa distinta es que alguien tenga mis datos personales y lo que pueda hacer con ellos, que ya no quiero ni pensarlo. Vamos, que me dan ganas de mandar todo a tomar por ..... y dedicarme a la cria del champiñón silvestre (una vez cambiado de banco, por supuesto).

libertaddigital.com/./noticias/noticia_1…6201764.html

Hola

Como autor del post quisiera dejar claro algunos puntos.

- Tras descubir el fallo de seguridad y pensando que era un echo punible por la ley, me puse en contacto con la agencia de proteccion de datos telefonicamente para pedirles el email para presentar la denuncia o alertarles. La señorita me dijo que solo podria hacerlo por correo electronico. Como ya he dicho anteriormente me parece lamentable que se me diese solo esta opcion. Aun asi, en la pagina de la agencia en su apartado de preguntas a la agencia les envie la denuncia correspondiente por si la leyesen y pudiesen actuar de oficio. No envie la denuncia por correo porque para entonces -contad una semana de tiempo- los datos si que estarian por todos lados.

-Durante el dia estuve considerando como sacar la noticia a la luz. Obviamente no queria dar los datos concretos de como se podia acceder a esta informacion, pero si tenia que dar pruebas acerca de que esta informacion estaba disponible. Redacte el articulo y lo envie con 2 capturas en donde toda la informacion sensible estaba eliminada. En ningun momento envie la URL para que la informacion pudiese ser accesible. Tened en cuenta ademas que mi informacion tambien se encuentra entre la de los clientes de ya.com, con lo cual tambien ha sido posible acceder a ella.

-Envie un email a BandaAncha con la URL a titulo informativo, para que se comprobase la veracidad de este fallo. En este sentido ellos tomaron la decision de publicarlo junto a la noticia cosa que han hecho bajo su responsabilidad, pero que no creo que sea erroneo. Señalar un fallo de este tipo ha sido mas bien una advertencia al publico/clientes de ya, mas que otra cosa. Los clientes de ya.com tienen derecho a saber que sus datos han sido vulnerados, y tened por seguro que si me ponia solo en contacto con ya.com ellos no iban a comunicarle a los clientes que dicho fallo habria sucedido.

-Paralelamente al envio del articulo envie un correo electronico a el unico email que tengo que existe para ponerse en contacto con el servicio de atencion al cliente de ya.com y que tardan una eternidad en responder. No es mi culpa que su servicio sea asi. Me negue a hacerlo telefonicamente porque:

1. es un 902 y no me apetece pagar por sus errores
2. como le explico a un tecnico de ya.com que hay un fallo de seguridad y que me entienda
3. La musica que ponen mientras esperas me pone de los nervios y ademas tengo el disco muy escuchado

-El fallo no es un hack, no es un crack, ni nada de eso. Es sencillamente un fallo en la arquitectura que usan en ya.com. En ningun momento se validaba al usuario (ahora por lo menos comprueba que eres de ya.com).Tampoco se hacia un envio de las variables para la obtencion de las facturas con POST, sino con GET. Normalmente en aplicaciones asi, el programador no se tiene que encargar de la seguridad, puesto que el sistema en si es el encargado de ella. Creedme, el servidor de aplicaciones que tienen (Resin) y el servidor web (supongo que sera Weblogic) tiene suficientes recursos como para poder implementar esto en la capa del mismo servicio web.

-El fallo ha sucedido debido a un nuevo tipo de facturas. Las que tienen como codigo D003/XXXXXX que ahora salen en formato PDF. Las anteriores se muestran mediante otro Servelet que solo retorna HTML. Esta funcionalidad es nueva. Y si no me equivoco existe solo desde este ultimo mes. Ignoro el dia. Ahora mismo se puede intentar usar de nuevo la URL pero se comprueba que el que lo hace sea cliente de ya.com y se coteja su login. Eso si, lo que no me gusta es que si al usuario no le corresponde la factura, se devuelva un PDF vacio. Esto significa que todavia se esta dejando ejecutar el servlet aunque no se tenga autorizacion. Supongo que todo esto por ahora es temporal y estaran trabajando para arreglarlo.

- Ya por ultimo mencionar que no creo que el programador haya tenido la culpa. Creo que [y esto es una opinion] como siempre las cosas se han hecho rapido y mal. Soy programador y estoy acostumbrado a que las cosas se quieran para ayer. Mi respuesta es "lo quieres bien o lo quieres para mañana?".

Bueno, espero que esto lo aclare todo.

Me podeis encontrar en kornerson@hotmail.com por si quereis comentar algo a titulo personal (si es que no se ha llenado de SPAM la maldita cuenta de hotmail como siempre :-) )

Creo que esta es la nuestra, esto es un incumplimiento flagrante de las oblicaciones de Ya.com en el contrato, a lo mejor podemos aprovechar para darnos de baja sin pagar indemnización alguna.
Alguién puede corroborar esto?

Yo he iniciado acciones legales contra esta empresa por considerar su servicion de post-venta una estafa.

Recientemente he tenido que cambiar de número telefónico... los llamé *antes* de que sucediera para evitar cualquier problema... y despues de hacer lo que ellos dijeron -gastando pasta en el 902, y en *los* faxes- tres meses después me siguen cobrando dos tarifas planas y como si nada.

Ahora estoy preparando la queja que voy a poner en consumo, por que lo peor es que de devolverme lo que me han cobrado, nada de nada.

Utilizaré este fallo de seguridad para apoyar mi tesis... si alguien quisiera aportar su testimonio en caso de juicio que me escriba a:

susinho (en) yahoo.com

Ahora poco me importa quejarme y denunciarlos, joder. Lo que me tiene en vilo es qué debo hacer ahora para no llegar un día al banco y ver que me falta MI DINERO, me cago en... Como eso suceda creo que mi conciencia no descansará hasta que mate a todos y cada uno de los miembros de esta puerca empresa, que por cierto no prestan buen servicio en absoluto. Bueno me calmo, es que solo de pensar en lo que han hecho... estoy que reviento. Y ya le vale al que ha puesto la url... ¿Y si desde qué has puesto la url hasta que lo han corregido alguien se ha hecho con mis datos con propósitos deshonestos? Y no me digas que ha sido por el bien común, porque si por el bien de todos unos cuantos somos robados... apaga y vámonos.

Lo que realmente me interesa es saber qué se puede hacer con esos datos míos y mi número de cuenta (si sólo fuera spam y publicidad ni contestéis, lo que me interesa, hablando en plata, es si me pueden robar). Quien sepa algo sobre todo eso, por favor que conteste y que se sugieran qué medidas debemos tomar los desgraciados clientes de estos hijos de ... de YA. Una cosa más: cambiar de cuenta bancaria no es tarea sencilla cuando lo tienes TODO basado en una, y con todo me refiero a todo.

Espero que los post siguientes vayan enfocados en esa dirección. Gracias

Hola a todos!

Porque no os intentais coordinar con la Asociacion de Internautas para hacer las pertinentes reclamaciones? Podeis formular cualquier tipo de dudas sin que os cueste dinero y si os interesa poner la pertinente denuncia. Lo que esta claro es que la AI dara la vara a ya.com con una denuncia si os decantais por esa opcion y arreglen el problema mucho antes. La direccion es internautas.org

Respecto a la noticia, es coorecto el procedimiento realizado por kornerson. Primero se envia correo a ya.com, luego a proteccion de datos y si no se obtiene respuesta pues se publica el error dando pruebas de ella como ha hecho. Si no aportara pruebas mucho de los que os quejais estariais diciendo que es un bulo.

Cualquier persona podria habe entrado ya y estar aprovechandose de ello si no hubiese saltado la noticia, que ha obligado a ya.com a la suspension de este servicio. De otro modo, ese agujero seguiria ahi.

El unico inconveniente en la noticia puede haber sido el link. Normalmente la gente solo lo probara para ver si es cierto, pero debemos recordar que no todos los usuarios son bienintencionados, aun asi la culpa no es de Josh sino de ya.com por dar un mal servicio. Si quereis ejemplos podeis encontrar equivalencias con lo que ocurre con Windows, hasta que no sale a la luz el agujero, no sacan el parche(y eso si hay suerte)

Saludos

Ayer por la noche escribí un e-mail a ya.com dando noticia del fallo, y hoy me han respondido con "Gracias por su aviso". Entonces porque dicen en libertaddigital que no tienen constancia del fallo?

Acaso si no se hbiera publicado esta noticia ya.com habria anulado el servicio tan rapido? a saber la de gente q ya se dio cuenta de ese fallo y q lo ha aprovechao sin decir nada. Ahora ya.com tendra mas cuidado a la hora de elegir en manos de quien deja la seguridad de su servicio. Supongo q ahora no pondran trabas para la gente q se quiera dar de baja no? aqui lo q hay es un claro caso de incompetencia y no han cumplido ese contrato q t hacen aceptar con un monton de clausulas para q no puedas darte de baja enseguida. ahora deberian pagar por su error.

Hola,

Esto es una barbaridad de las mas grandes q se hayan cometido, porque con los datos bancarios completos y el nif o cif identificativo se pueden hacer bastantes barbaridades, no solo en internet sino en la propia banca tradicional. Posibles falsificaciones de cheques en la cuenta por ejemplo.

Creo que os habeis equivocado al publicar la url, no me parece etico poner los medios de manipulacion de datos privados en manos de cualquier desaprensivo.

Por ultimo, como todos sabeis, esto quedara en nada; aqui quedaremos 4 idiotas hablando sobre lo mal que esta la cosa, lo cara que es la dsl, el mal servicio que da y el impuesto revolucionario que le han metido a los cds, pero esto es España y se permiten esas tropelias mientras no les toque el bolsillo a los que manden, sean quienes sean.

Un saludo.

(Los que no soporten faltas ortograficas, no leer). Una cosa que está clara es que la forma de llevar el tema por parte del que posteó el fallo es COMPLETAMENTE CORRECTA: aviso a YA.COM, contacto con APD y posteo del fallo y prueba feaciente de que es real (aun así se podrian haber ocultado más datos de la titular de la factura y seria igualmente convincente) lo que no me parece correcto es dar a conocer la manera de explotar el fallo por parte de BANDAANCHA, se nota que no son vuestros datos los que estan a la vista de mucha gente; una vez que el señor que posteó dió a conocer la noticia y de que esta era completamente real nos daba pie para poder quejarnos con pruebas mas que de sobra para ira YA.COM y acordarnos de toda su familia.. pero al poner el metodo de como explotar tal vulnerabilidad.. es pasarse, si sabes que YA.COM ha sido avisada, si sabes que los usuarios que lean BANDAANCHA se van a dar por enterados y se van a quejar ¿por qué poner ADEMAS el metodo para explotar dicho bug? definitivamente SOBRA :/ personalmente, soy "fiel" a BANDAANCHA desde hará algo más de año y pico y con este tropezón pierde bastante, esto es un Weblog no un sitio para postear xploits o metodos para aprovechar vulnerabilidades y no vale decir "es para informar a los usuarios" puesto que entonces BANDAANCHA deberia estar dando xploits y metodos de todos los fallos que salen diariamente "ya que es para informar a todos los usuarios posiblemente afectados" y no lo hace, no estoy recriminando nada a nadie, ni a Yosh, solo quiero dar un toque para la proxima ocasión en que aparezca un bug de este calado (me refiero a que afecte a un gran número de gente) se hagan las cosas con más cuidado. Un saludo a todos :)

¿Alguien sabe por algun medio si la susodicha web del fallo la ha hecho ya.com o ha contratado su diseño a otra compañia?

Puede parecer una tonteria mia, pero es muy importante si alguien me lo pudiese aclarar.

Gracias.