Fallo de seguridad en MOVISTAR ACTIVA

Copio y pego de los foros de Ciberseleccion un aviso mas que interesante acerca de las Movistar Activas.

No lo he leido por qui, asi que creo que es una novedad.

quote:

---

Desde ciberseleccion.com hemos descubierto un fallo de seguridad en el servicio de MoviStar Activa de Telefónica. Este agujero de seguridad permite a cualquier persona "robar" fácilmente el número de teléfono a cualquier usuario de MoviStar Activa.

La poca información que Telefónica MoviStar solicita para saber cuál es el código PUK de un teléfono móvil unido a la facilidad para realizar un duplicado de tarjeta a partir de dicha información hace que TODOS los usuarios de MoviStar Activa sean vulnerables. Hemos realizado algunas pruebas en las que la poca seguridad del servicio MoviStar Activa se ha hecho notable.

Esperamos que a partir de ésta noticia Telefónica MoviStar tome cuanto antes medidas de seguridad para evitar que se realicen estos actos y para interceptar a aquellos que los cometen.

> La vulnerabilidad

Telefónica MoviStar ofrece un servicio de "Duplicado de tarjeta" a sus clientes de MoviStar Activa. El duplicado se realiza gratuitamente en cualquier los distribuidores MoviStar y sirve para que, en caso de pérdida o robo de la tarjeta el usuario reciba una tarjeta nueva con el número de teléfono que anteriormente poseía. Al asignar a la nueva tarjeta el número de teléfono del usuario la tarjeta perdida/robada queda inservible.

Para realizar un "duplicado de tarjeta" tan sólo es necesario el código PUK de la tarjeta. Desde el teléfono de soporte de MoviStar 1485 se dice al usuario que también necesita presentar su DNI, pero éste no es registrado en ningún caso y al indagar más sobre ello hemos recibido la respuesta en el 1485 de que se trata de algo "recomendable" y no necesario. Hemos realizado pruebas y ni siquiera se nos ha solicitado tal dato.

El atacante puede obtener el código PUK de su víctima mediante una simple recarga de saldo al móvil de ésta y una llamada al 1485, ya que para obtener el código PUK de una tarjeta basta con dar el número de móvil y la fecha de la última recarga como datos.

De esa forma el atacante puede hacerse primero con el código PUK mediante una recarga de saldo al móvil de la víctima y luego con su número de móvil más su saldo realizando un "duplicado de tarjeta" (con el código PUK anteriormente obtenido) en cualquier distribuidor MoviStar, dejando la tarjeta de su víctima inservible.

Nota:
Las pruebas se han realizado con consentimiento previo de un usuario de MoviStar Activa y sin causar ningún perjuicio a ningún usuario de Telefónica MoviStar.


> Los afectados

Este agujero de seguridad afecta a TODOS LOS USUARIOS DE MOVISTAR ACTIVA.

- Cómo saber si usted está afectado

Si usted es cliente de MoviStar Activa y al encender su teléfono móvil pasan unos minutos y su teléfono sigue buscando la red (no tiene cobertura) pese a estar en un lugar al aire libre en el que teóricamente debería haber cobertura (si alguna persona con red MoviStar que se encuentre cerca de usted tiene cobertura y usted no) es posible que hallan realizado un duplicado de su tarjeta. Si en los últimos días había recibido una recarga de saldo de alguna extraña "promoción" o alguna otra recarga no solicitada es muy probable que así sea.

- Cómo recuperar su tarjeta

Si cree que han realizado un duplicado de su tarjeta sin su consentimiento llame inmediatamente al 1485 y comuníqueselo al operador que le atienda. Dígale cuándo recibió la última recarga (si recibió una recarga no solicitada, indíquelo) y solicite el código PUK que le será necesario para realizar un duplicado de tarjeta. Se trata de duplicar la tarjeta que anteriormente le habían duplicado a usted para recuperar su número y que la tarjeta del primer duplicado quede inservible. Acérquese a cualquier distribuidor MoviStar con su código PUK y su DNI y solicite un duplicado de tarjeta (es gratuito). Le entregarán una nueva tarjeta que volverá a tener su número de teléfono. Esto no evitará que siga siendo vulnerable y que pueda volverle a ocurrir en otra ocasión.

Nota: Suponemos y esperamos que al haber salido a la luz esta vulnerabilidad se empezará a registrar el DNI de las personas que soliciten un duplicado de tarjeta por motivos de seguridad.


- Medidas de prevención para usuarios de MoviStar Activa

1. Llevar un registro de las fechas en las que se han realizado las últimas recargas y guardar el código PUK y el número de la tarjeta por si acaso.

2. Llamar al soporte de MoviStar 1485 (número gratuito) avisando de nuestro problema en caso de recibir una recarga NO SOLICITADA.



Eso es todo.


zenx

---

Hola:

Ese fallo de seguridad viene dándose desde hace tiempo. A un cliente nuestro le robaron el número y lo pasaron a contrato, el hombre lleva teniendo problemas muchísimo tiempo.

Probad a ir a una tienda de MoviStar en Madrid (al menos) a hacer un duplicado de tarjeta. En todas (incluidas tiendas Telefónica, Telyco, Hipercores y distribuidores a pie de calle como nosotros) diremos que se nos han agotado las tarjetas TRU y que estamos esperando a que las traigan.
El único lugar donde se pueden hacer no sé si con problemas en en la central de MoviStar en la Puerta de Alcalá. Creo que todas las tiendas de MoviStar estamos mandando la gente allí, para que sean conscientes del problema en persona, ya que en Atención al Distribuidor pasan del tema.

No había querido compartir con vosotros esta info (aunque en un hilo creó que comenté que lo de hacer duplicados estaba muy difícil) por no dar pistas sobre el tema, pero no os podeis imaginar la cantidad de gente que entra últimamente para preguntar si hacemos duplicados, cuando hasta haca nada sólo cuatro gatos "enteradillos" sabíamos lo que era. Es un abuso al que no podemos hacer frente, porque a parte de usarse para robar números se trata de un servicio que no da beneficio y sólo quita tiempo, que bastante poco tenemos ya. Lo único, lo siento por los que de evrdad lo necesitan, pero si quereis hacer un duplicado, el único sitio donde no os van a dar largas (creo) es en la Puerta de Alcalá.

Un saludo

Por cierto que antes de negarnos a hacer duplicados dábamos a la gente un papel donde les pediamos el ICC antiguo, el PUK antiguo y nombre, apellidos y DNI/Pasaporte/T. Residencia. La mayoría se llevaban el papel "para rellenarlo" y no volvían.

Pues casualitamente vengo yo del Hipecor de hacer un duplicado de una activa, eso si, llevaba el sobre original en q venia la tarjeta asi que no habia duda de q era yo el legitimo dueño.

El puk ni lo han mirado ya que esta sin rascar, solo han apuntado el icc (creo q se llama el chorizo de numeros q viene debajo del numero)
Ni DNI ni nada.
Llamada telefonica a la central y voila!

Aupa!

El fallo ha sido "parcheado" con esta solucion:
Al querer hacer un duplicado de tarjeta Movistar Activa, solo pediamos el importe, el dia y el metodo mediante el cual habiamos realizado la ultima recarga, bien, ahora si alguien pide un duplicado de tarjeta, se le pide el icc, pero a parte se le pide que confirme una serie de datos, los cuales no podremos poner en este foro para que no vengan "listillos" a jorobar otra vez la tarea le doy las gracias a FCordoba por haber explicado tan bien la situacion desde la vista del Distribuidor.
Gracias a tod@s x ayudar a que Telefonica MOvistar se dea cuenta de ese fallo.

MENOS MAL PORQUE YA ME ESTABA ENTRANDO EL MIEDILLO.
YAVESTRUZ

Joer!
Que fácil sería pillar un número "bonito" como el 626262626, por ejemplo. Le haces un par de recargas de 5 euros en dos días y al tercero le ventilas la línea.

Un saludo!