2. Foros
  3. Operadores
  4. Orange

AGUJERO de Seguridad: FALLO MUY IMPORTANTE

7.429 63
Responder Suscribir
 #1
Escrito (Editado )  0  0  
AVISO: FALLO DE SEGURIDAD EN SISTEMAS ORANGE PREPAGO:

He detectado que llamando al 1414 desde móviles de otras compañías NO ORANGE (he hecho la prueba con MoviStar), el sistema pide los siguientes datos:

1.- Si es cliente Orange, pulse 1 o escriba su teléfono.

2.- El sistema te lee el número Orange tecleado.

3.- Pide confirmación con pulsar 1.

4.- Para consultas de telefonia movil pulsar 1.

5.- Se entra al menú del número Orange marcado.

Ahora se puede manipular el sistema y modificar servicios del cliente.

Para consultar saldo, únicamente pide importe de la última recarga y se accede a las consultas.

Para el resto de opciones del menú orange, hay algunas en las que NO PIDE identificación (pudiéndose consultar la tarifa, activar Domingos Orange, etc, en líneas que no nos pertenecen y ante la indefensión del titular).

Reitero la GRAVEDAD DE ESTE AGUJERO DE SEGURIDAD: Orange sólo solicita como dato para manipular los sistemas el IMPORTE DE LA ÚLTIMA RECARGA.

MUY GRAVE: Si tecleamos 2 euros, el sistema SIEMPRE LO DA COMO VÁLIDO.

Probadlo y quien quiera que lo denuncie.

(Lo que hace el aburrimiento en las guardias, ¿eh? emoticon lengua )

Un saludo.
 #2
Escrito   0  0  
No jodas pues habrá que dar el aviso....
Gracias por la info.
emoticon Arriba
 #3
Escrito (Editado )  0  0  
Yo ya sabía que Orange no tiene ningún interés por los clientes de prepago, pero no esperaba ésto...

La gravedad de este Agujero de seguridad radica en que para manipular la línea de un cliente PREPAGO basta con introducir el IMPORTE DE LA ÚLTIMA RECARGA (lo cual es facilísimo, y quien quiera modificar algo en la línea de un cliente no tiene más que ir probando: 5 (euros), 10... etc). INFORMO QUE PULSANDO UNA CANTIDAD ERRONEA TAMBIÉN FUNCIONA, por ejemplo tecleando 2 euros aunque en realidad se hayan recargado 5 la última vez.

Vamos, un fallo de seguridad en toda regla.

Veremos cuánto tardan en solucionarlo.

Un saludo.
 #4
Escrito   0  0  
¿Será hoy el día que lo solucionen?.

Reitero nuevamente la gravedad de la cuestión debido al CASI NULO NIVEL DE SEGURIDAD que Orange solicita para comprobar la identidad del cliente y además, si se pulsa un importe erróneo, por ejemplo tecleando 2 euros en lugar de 5, TAMBIÉN LO VALIDA.

Mu fuerte...

Saludos.
 #5
Escrito   0  0  
¿Alguien ha probado la vulnerabilidad de sus sistemas?
 #6
Escrito   0  0  
Pero te cobran la llamada si es desde un movistar por ejemplo???
SIMYO 10€ GRATIS con el código 619348473
ENVIAME UN PRIVADO y te paso la información.

Mis Tratos OK
 #7
Escrito   0  0  
quote:
Originalmente escrito por elloko
Pero te cobran la llamada si es desde un movistar por ejemplo???

Las llamadas al 1414 son siempre gratuitas, se llame desde donde se llame.

Siguen sin corregir el fallo de seguridad.

Resumo:

- Se llama al 1414 desde líneas No Orange.
- Se selecciona opción 1 (cliente de Orange) y se introduce el número Orange que queramos consultar.
- Se acepta pulsando 1.
- Se selecciona la opción Consultas sobre telefonía móvil.
- Entramos en el menú personal de ese cliente.
- Para acceder a los servicios pide como ÚNICO REQUISITO INTRODUCIR LA ÚLTIMA RECARGA:
Si introducimos 2 euros, el sistema lo valida siempre.

Creo que el que pregunten el IMPORTE DE LA ÚLTIMA RECARGA implica un sistema de seguridad NULO, ya que quien quiera fastidiar a alguien, le basta con llamar varias veces y probar importes de recarga múltiplos de 5, o bien pulsar 2, que ya digo que cuela.

En fins... no sé qué opinaréis.
 #8
Escrito   0  0  
quote:
Originalmente escrito por jesus_mj
AVISO: FALLO DE SEGURIDAD EN SISTEMAS ORANGE PREPAGO:

He detectado que llamando al 1414 desde móviles de otras compañías NO ORANGE (he hecho la prueba con MoviStar), el sistema pide los siguientes datos:

1.- Si es cliente Orange, pulse 1 o escriba su teléfono.

2.- El sistema te lee el número Orange tecleado.

3.- Pide confirmación con pulsar 1.

4.- Para consultas de telefonia movil pulsar 1.

5.- Se entra al menú del número Orange marcado.

Ahora se puede manipular el sistema y modificar servicios del cliente.

Para consultar saldo, únicamente pide importe de la última recarga y se accede a las consultas.

Para el resto de opciones del menú orange, hay algunas en las que NO PIDE identificación (pudiéndose consultar la tarifa, activar Domingos Orange, etc, en líneas que no nos pertenecen y ante la indefensión del titular).

Reitero la GRAVEDAD DE ESTE AGUJERO DE SEGURIDAD: Orange sólo solicita como dato para manipular los sistemas el IMPORTE DE LA ÚLTIMA RECARGA.

Probadlo y quien quiera que lo denuncie.

(Lo que hace el aburrimiento en las guardias, ¿eh? emoticon lengua )

Un saludo.



JOJOJOJOJ


REPORTO A ORANGE
send
me queda poco en este foro...
 #9
Escrito   0  0  
Yo ya lo he denunciado, de forma inmediata, ante la Agencia Española de Protección de Datos (901 100 099 y www.agpd.es ), ya que Orange se desentiende del tema.

Al menos que no sea por no advertir a tiempo... ¿no creéis?

Un saludo
 #10
Escrito   0  0  
quote:
Originalmente escrito por jesus_mj
Yo ya lo he denunciado, de forma inmediata, ante la Agencia Española de Protección de Datos (901 100 099 y www.agpd.es ), ya que Orange se desentiende del tema.

Al menos que no sea por no advertir a tiempo... ¿no creéis?

Un saludo


haces bien por que los de orange aque atienden no saben ni lo que es la seguridad


aunque no creo que les multe mucho ya que no peligran DATOS PERSONALES.
send
me queda poco en este foro...
Responder Suscribir
Volver a Orange