quote:
Originalmente escrito por talavo9
Gracias Jesus por el aviso y la denuncia.
Gracias por el verde, te lo devuelvo.
Saludos
AGUJERO de Seguridad: FALLO MUY IMPORTANTE
7.530 63
Escrito 0 0
Gracias por el verde, te lo devuelvo.
Saludos
Gracias por el verde, te lo devuelvo.
Saludos
(81963)
Registro
+vip Baja Solicitada
4.959
4.959
Escrito (Editado ) 0 0
Bueno, creo que no me he dejado a nadie devolviendo verdes, jeje.
La verdad es que era obligado postearlo por la gravedad de la situación.
Lo que me parece una vergüenza es que haya sido Protección de Datos quien haya tenido que "obligar" a Orange a modificar los sistemas de forma inmediata, ya que de lo contrario Orange no habría hecho más que darnos largas y decirme lo que me dijeron una de las argentinas y una de las colombianas de Atención al cliente (además de negarse a pasarme con superiores):
"Señor, éso lo ha puesto así Orange para la comodidad de los clientes, y está bien así"
A lo cual les respondí yo: "¿Usted no se da cuenta de la gravedad de lo que yo la estoy diciendo?. Deme su número de teléfono Prepago Orange y dentro de un rato me lo cuenta..."
A lo que me colgaron las llamadas, pero hubiera sido bueno haber anotado sus nombres y extensiones y enviar una cartita a Orange diciendo: mire, he aquí la eficacia de sus operadores ante agujeros de seguridad, envíenlas "gustosa y papitamente" al paro, chévelez...
Saludos!!!
La verdad es que era obligado postearlo por la gravedad de la situación.
Lo que me parece una vergüenza es que haya sido Protección de Datos quien haya tenido que "obligar" a Orange a modificar los sistemas de forma inmediata, ya que de lo contrario Orange no habría hecho más que darnos largas y decirme lo que me dijeron una de las argentinas y una de las colombianas de Atención al cliente (además de negarse a pasarme con superiores):
"Señor, éso lo ha puesto así Orange para la comodidad de los clientes, y está bien así"
A lo cual les respondí yo: "¿Usted no se da cuenta de la gravedad de lo que yo la estoy diciendo?. Deme su número de teléfono Prepago Orange y dentro de un rato me lo cuenta..."
A lo que me colgaron las llamadas, pero hubiera sido bueno haber anotado sus nombres y extensiones y enviar una cartita a Orange diciendo: mire, he aquí la eficacia de sus operadores ante agujeros de seguridad, envíenlas "gustosa y papitamente" al paro, chévelez...
Saludos!!!
Escrito 0 0
eres de orange no?? jejeje se nota!!!
yo jamas me habia tomado tantas moletias para un bug,si lo veo lo reporto, si son tontos y no s eenteran.... alla ellos
la pena que no le hayan MULTADO.
quote:...
Originalmente escrito por jesus_mj
Actualmente hay diferencias trascendentales, ya que Vodafone no permitía manipular los sistemas, y Orange SÍ.
Vodafone informa de ciertos datos, pero no permite manipular nada sin antes confirmar el DNI y/o la fecha de nacimiento del cliente. No obstante, cabe destacar que es cierto que hace unos cuantos meses, como dice xaulo, Vodafone tuvo fallos que permitieron activar ciertos servicios también a través de sus números cortos 1444 ó 1441, lo cual ya se subsanó.
Orange con sólo pulsar el importe de la última recarga, o pulsar siempre 2 euros, DABA ACCESO A TODO TIPO DE MANIPULACIÓN que se quisiera hacer.
Por lo tanto, lo de Orange era un fallo de seguridad bastante grave.
El tema es que ya lo han solucionado, eliminando el acceso al menú del número tecleado y en su lugar ahora están transfiriendo directamente con un operador.
Al menos de algo ha servido la denuncia de esta mañana a la Agencia Española de Protección de Datos.
Un saludo y gracias a los que han colaborado.
eres de orange no?? jejeje se nota!!!
yo jamas me habia tomado tantas moletias para un bug,si lo veo lo reporto, si son tontos y no s eenteran.... alla ellos
la pena que no le hayan MULTADO.
send
me queda poco en este foro...
me queda poco en este foro...
(81963)
Registro
+vip Baja Solicitada
4.959
4.959
Escrito 0 0
Tengo 2 líneas en Orange, pero la verdad es que lo hubiera movilizado y denunciado igual, aunque no tuviera líneas con ellos.
Por cierto, se me olvidaba decir que también llamé a la SETSI, y me dijo la operadora que me atendió que ellos no podían hacer nada, que lo pusiera en conocimiento de Protección de Datos.
Ahí está la gran eficacia y responsabilidad de la SETSI española. Que se sepa también.
Saludos!!
quote:
Originalmente escrito por chodivo85
...
eres de orange no?? jejeje se nota!!!
yo jamas me habia tomado tantas moletias para un bug,si lo veo lo reporto, si son tontos y no s eenteran.... alla ellos
la pena que no le hayan MULTADO.
Tengo 2 líneas en Orange, pero la verdad es que lo hubiera movilizado y denunciado igual, aunque no tuviera líneas con ellos.
Por cierto, se me olvidaba decir que también llamé a la SETSI, y me dijo la operadora que me atendió que ellos no podían hacer nada, que lo pusiera en conocimiento de Protección de Datos.
Ahí está la gran eficacia y responsabilidad de la SETSI española. Que se sepa también.
Saludos!!
(81963)
Registro
+vip Baja Solicitada
4.959
4.959
Escrito 0 0
Por cierto, ¿os habéis dado cuenta de que han vuelto a poner la locución cuando se teclean números de contrato Orange?. En éstos, al acceder al menú y pulsar la opción 3, antes de pedir el DNI del titular el sistema dice el plan de precios activado por el cliente.
En cambio cuando se teclean los de prepago (donde estaba el agujero de seguridad) siguen pasando directamente con operadores.
¿Lo dejarán así?, ¿volverán a poner la locución corregida o serán capaces de poner la misma como han vuelto a hacer en contrato...?
Saludos!!
En cambio cuando se teclean los de prepago (donde estaba el agujero de seguridad) siguen pasando directamente con operadores.
¿Lo dejarán así?, ¿volverán a poner la locución corregida o serán capaces de poner la misma como han vuelto a hacer en contrato...?
Saludos!!
Escrito 0 0
Una duda que me corroe. Teniendo en cuenta que Masmovil es un simple revendedor de minutos de Orange...
¿Le pasaría o le pasa lo mismo?
¿Le pasaría o le pasa lo mismo?
1) 20 euros + 3GB al portar a contrato SIMYO con el código:
644220800
2) 45€ directos por invitarte a Crypto y cashback hasta 5% en tarjeta de débito --> Más información por privado
644220800
2) 45€ directos por invitarte a Crypto y cashback hasta 5% en tarjeta de débito --> Más información por privado
(81963)
Registro
+vip Baja Solicitada
4.959
4.959
Escrito (Editado ) 0 0
EDITO: En Mas Móvil no ocurre, ya que al llamar al 1473 pasan directamente con asesores, sin locución.
quote:
Originalmente escrito por antonioban
Una duda que me corroe. Teniendo en cuenta que Masmovil es un simple revendedor de minutos de Orange...
¿Le pasaría o le pasa lo mismo?
EDITO: En Mas Móvil no ocurre, ya que al llamar al 1473 pasan directamente con asesores, sin locución.
Escrito 0 0
Eres un crack, deberías solicitar a Orange que te contrataran en su departamento de seguridad. Gracias por avisar y realizar los trámites para que arreglen el desaguisado. Por cierto sigue haciendo muchas guardias más para continuar con la caza de fallos de seguridad. No te extrañe si recibes un correo de la CIA.
(81963)
Registro
+vip Baja Solicitada
4.959
4.959
Escrito (Editado ) 0 0
Pues si te cuento cómo lo descubrí... jejeje
Resulta que un compañero de la UME se había dejado su móvil de Orange en casa (él vive en otra provincia), y estuvimos hablando del tema de las recargas promocionales (las típicas que recargando X euros, al poco tiempo Orange recarga X euros más, en la cual él había participado recientemente), así que le surgió la duda de si se lo habrían recargado o no.
Como no tenía clave del área de clientes vía web, le dije que la mejor forma es que llamara al 1414 desde un móvil de otra compañía y que se lo confirmase un teleoperador, así que usé uno de los míos para llamar (el de MoviStar).
Llamo al 1414, esperando ser atentido por una operadora para pasarle el móvil, cuando me encuentro con la locución de "Si es cliente Orange, pulse 1", puse el manos libres y le dije que pusiera los datos de su teléfono.
Nos encontramos que nos deriva a su área de clientes, así que pulsamos la opción 1 para consultar su saldo. Aquí fue cuando fue descubierto el grave fallo. La sorpresa fue percatarnos de que el requisito que pedía Orange para continuar era lo que comentaba (importe de la última recarga).
Una vez comprobado ésto, llamé de nuevo e introduje para hacer la prueba un número de los míos. Esta vez, al solicitarme el saldo introduje un importe erróneo a propósito (2 euros), y me quedé perplejo al ver que el sistema lo verificaba como dato válido en todos los casos, incluido en su número. Asimismo, comprobamos que con ese dato (2 euros) podíamos hacer de todo en cualquier opción del menú.
Por ése doble motivo: nula seguridad al preguntar como dato última recarga, en la cual se puede ir probando 5, 10, etc, así como el hecho de que pulsando 2 euros siempre lo aceptaba como verdadero, decidí abrir el post de inmediato para conocimiento general.
Por cierto, mi compi también se quedó a cuadros al ver en qué tipo de compañía estaba, y percatarse de lo que habíamos detectado de la forma más tonta, jeje.
Y esta es la historia de cómo llegamos a descubrir este grave fallo
A ver qué sale de las proximas guardias, jajaja.
Saludos!!!
quote:
Originalmente escrito por fazer08
Eres un crack, deberías solicitar a Orange que te contrataran en su departamento de seguridad. Gracias por avisar y realizar los trámites para que arreglen el desaguisado. Por cierto sigue haciendo muchas guardias más para continuar con la caza de fallos de seguridad. No te extrañe si recibes un correo de la CIA.
Pues si te cuento cómo lo descubrí... jejeje
Resulta que un compañero de la UME se había dejado su móvil de Orange en casa (él vive en otra provincia), y estuvimos hablando del tema de las recargas promocionales (las típicas que recargando X euros, al poco tiempo Orange recarga X euros más, en la cual él había participado recientemente), así que le surgió la duda de si se lo habrían recargado o no.
Como no tenía clave del área de clientes vía web, le dije que la mejor forma es que llamara al 1414 desde un móvil de otra compañía y que se lo confirmase un teleoperador, así que usé uno de los míos para llamar (el de MoviStar).
Llamo al 1414, esperando ser atentido por una operadora para pasarle el móvil, cuando me encuentro con la locución de "Si es cliente Orange, pulse 1", puse el manos libres y le dije que pusiera los datos de su teléfono.
Nos encontramos que nos deriva a su área de clientes, así que pulsamos la opción 1 para consultar su saldo. Aquí fue cuando fue descubierto el grave fallo. La sorpresa fue percatarnos de que el requisito que pedía Orange para continuar era lo que comentaba (importe de la última recarga).
Una vez comprobado ésto, llamé de nuevo e introduje para hacer la prueba un número de los míos. Esta vez, al solicitarme el saldo introduje un importe erróneo a propósito (2 euros), y me quedé perplejo al ver que el sistema lo verificaba como dato válido en todos los casos, incluido en su número. Asimismo, comprobamos que con ese dato (2 euros) podíamos hacer de todo en cualquier opción del menú.
Por ése doble motivo: nula seguridad al preguntar como dato última recarga, en la cual se puede ir probando 5, 10, etc, así como el hecho de que pulsando 2 euros siempre lo aceptaba como verdadero, decidí abrir el post de inmediato para conocimiento general.
Por cierto, mi compi también se quedó a cuadros al ver en qué tipo de compañía estaba, y percatarse de lo que habíamos detectado de la forma más tonta, jeje.
Y esta es la historia de cómo llegamos a descubrir este grave fallo
A ver qué sale de las proximas guardias, jajaja.
Saludos!!!
Volver a Orange