Grave agujero de seguridad en simyo.

quote:

---

Originalmente escrito por agi_ito
No se si será nuevo o no, pero he descubierto un problema de seguridad bastante grave en simyo:

Llevo como un año con ellos, tengo una linea de contrato y dos tarjetas de prepago.

Pues bien, como es veranito me he llevado a la playa una tarj de prepago con un nokia para hacer de modem y como no tenia saldo me decido a recagarla llamando al 121 y dando los datos de mi visa.

Pues bien, cuando estaba yo metiendo los numeros de la tarjeta me equivoco en uno accidentalmente y digo -"pues meto los demas a boleo y al ser erroneos me dejara intentarlo otra vez"- CRASO ERROR, despues de meter los numeros a boleo (resto de digitos de la tarj, codigo de verificacion y fecha de caducidad) me dice que la recarga se ha completado y que me mandaran un sms verificandola.
Al minuto me llega el sms y yo flipando claro. ¿era posible que me hubieran puesto el saldo gratis? ¿habria "acertado" a poner los datos de otra tarjeta aunque las posibilidades fueran nulas?

Lo que tenia claro es que los datos de la tarjeta que intruduje no eran correctos asi que ¿como iban a cargarmelos si no tenian los datos?

Pues bien el misterio se resolvió al dia siguiente, cuando mirando el extracto de mi tarjeta vi que habia un cargo de e-plus. Lo gracioso es que esa tarjeta no era ni la que intentaba poner cuando me equivoqué, era la tarjeta con la que pedí la sim hace ya un año.
Los cabrones se habian guardado la información de mi tarjeta (yo creia que eso estaba totalmente prohibido salvo autorizacion expresa) y cuando intenté "colarles" una recarga con una tarjeta "falsa" en vez de rechazarla tomaron los fondos de la tarjeta que tenian en su base de datos sin mi autorización.

¿Veis el gran agujero de seguridad que supone esto?
A otra persona que tenga simyo, sabiendo únicamente su numero de tlfno le puedes hacer recargas desde su tarjeta de credito a su tlfno y todo esto sin su autorizacion y sin conocer los datos de su tarjeta.

Sólo hay que llamar al 121 dar el número de teléfono al que quieres "recargar" y inventarte los demas datos. Al minuto el dueño del movil recibe una recarga pero se la cargan a la tarjeta que tienen guardada en su base de datos.


Mi consejo es llamar a simyo para que borren de su base de datos la informacion de vuestas tarjetas.

---

O sea, que si pierdo el móvil o me lo roban, encima pueden hacer recargas, que las voy a pagar yo.

SEÑORES DE SIMYO: ¡¡ARREGLEN ESTO DE UNA VEZ!!, que no estamos hablando de llamadas fantasmas, cruces de llamadas y de unos pocos céntimos. Estamos hablando de cientos de euros.

quote:

---

Originalmente escrito por khazad
He entrado en la web y de la tarjeta solo salen los 4 digitos finales,aun asi todo lo que comentais da que pensar...

---

+1

Subiendo que interesa

Detectado que los datos e visa aparecen ocultos varias cifras. EN DATOS BANCARIOS NO OCULTAN NADA

quote:

---

Originalmente escrito por lameiga
Detectado que los datos e visa aparecen ocultos varias cifras. EN DATOS BANCARIOS NO OCULTAN NADA

---

Gracias por tu aportación lLameiga. GRAVÍSIMO LO QUE COMENTAS: No ocultan los datos bancarios.

Pero lo más grave es que si una persona coge tu móvil (un niño, o si te lo roban, o lo pierdes) y llama al 121, puede hacer recargas, incluso inventándose los datos de una tarjeta de crédito, que se lo cargarán al titular de la linea.

AÑADO ADEMÁS DE NO OCULTAR DATOS BANCARIOS Y SI OCULTAR LOS DE NUESTRAS TARJETAS AHORA VAN Y LAS TARJETAS DE CONTRATO TE LAS MANDAN SIN SER CERTIFICADAS Y TE LAS DEJAN EN EL BUZON SIN QUEDAR NINGUNA CONSTANCIA DE ENTREGA O A DONDE VA A PARAR LA TARJETA.

PREPAGO ENTREGA CONTRA REEMBOLSO CONTRATO NO VERIFICAN NI TU DNI... ALUCINANTE SEÑORES¡¡¡¡

quote:

---

Originalmente escrito por lameiga
AÑADO ADEMÁS DE NO OCULTAR DATOS BANCARIOS Y SI OCULTAR LOS DE NUESTRAS TARJETAS AHORA VAN Y LAS TARJETAS DE CONTRATO TE LAS MANDAN SIN SER CERTIFICADAS Y TE LAS DEJAN EN EL BUZON SIN QUEDAR NINGUNA CONSTANCIA DE ENTREGA O A DONDE VA A PARAR LA TARJETA.

PREPAGO ENTREGA CONTRA REEMBOLSO CONTRATO NO VERIFICAN NI TU DNI... ALUCINANTE SEÑORES¡¡¡¡

---

Pues ya es raro porque es uno de los pocos puntos que cumplen a rajatabla. sin embargo decirte que el fallo no es de Simyo en este caso, sino de Correos/Postal Express o la mensajería que tengan ahora.

Decirte que en este caso la culpa si es de ellos... Me lo han enviado en un sobre con franqueo pagado. No pasa esto cuando es tarjeta de prepago que viene el de correos y me hace enseñar el dni y firmar.

Acabo de leer las condiciones en su pagina web y en la seccion preguntas frecuentes contrato pone que seran entregadas via correo ordinario y para prepago que seran por correo certificado.

COPIO Y PEGO:
Cuando realices tu pedido, te mantendremos informado del proceso de envío por SMS y en la pestaña Asuntos Pendientes de tu área personal. El método de envío varía según lo que hayas comprado: 1. Si haces un pedido de prepago (con o sin teléfono): Tu pedido te llegará en un plazo de 48 a 72 horas por medio de Postal Exprés (Correos). Por una cuestión legal, el mensajero sólo te lo puede a ti, y deberás mostrar tu DNI. Si no estás en casa, te dejarán un aviso para que lo recojas en tu oficina de Correos, donde también será necesario que acudas personalmente y muestres el DNI. Si en 15 días no has recogido el pedido, será devuelto a nuestro almacén y deberás llamar a nuestro departamento de Atención al Cliente para concertar otro envío 2. Si haces un pedido de portabilidad, de contrato con móvil o un pedido de módem USB: te enviaremos tu pedido por medio de Postal Exprés en un plazo de 48 a 72 horas, aunque en este caso no es necesario que lo recoja el titular de la línea en el domicilio o en Correos. 3. Si compras un número nuevo de contrato: Recibirás tu tarjeta SIM por correo ordinario en tu buzón, de modo que no es necesario que estés en casa para recibirla.


http://www.simyo.es/preguntas_frecuentes.html#pedido

Demasiados fallos "legales" de simyo. Alguien debería de tomar cartas en el asunto.

Pues vaya faena, yo esperaba que fuera para prepago y contrato todo igual. Sinceramente se merecen un suspenso por el peligro que supone para el usuario.