emovil
07-01-2005, 13:27
Se ha descubierto una falta de seguridad en el servicio de Telefónica MoviStar que permite a un atacante hacerse fácilmente con la tarjeta de cualquier usuario de MoviStar Activa.
------------------------------------------------------------------------
Desde ciberseleccion.com hemos descubierto un fallo de seguridad en el servicio de MoviStar Activa de Telefónica. Este agujero de seguridad permite a cualquier persona "robar" fácilmente el número de teléfono a cualquier usuario de MoviStar Activa.
La poca información que Telefónica MoviStar solicita para saber cuál es el código PUK de un teléfono móvil unido a la facilidad para realizar un duplicado de tarjeta a partir de dicha información hace que TODOS los usuarios de MoviStar Activa sean vulnerables. Hemos realizado algunas pruebas en las que la poca seguridad del servicio MoviStar Activa se ha hecho notable.
Esperamos que a partir de ésta noticia Telefónica MoviStar tome cuanto antes medidas de seguridad para evitar que se realicen estos actos y para interceptar a aquellos que los cometen.
> La vulnerabilidad
Telefónica MoviStar ofrece un servicio de "Duplicado de tarjeta" a sus clientes de MoviStar Activa. El duplicado se realiza gratuitamente en cualquier los distribuidores MoviStar y sirve para que, en caso de pérdida o robo de la tarjeta el usuario reciba una tarjeta nueva con el número de teléfono que anteriormente poseía. Al asignar a la nueva tarjeta el número de teléfono del usuario la tarjeta perdida/robada queda inservible.
Para realizar un "duplicado de tarjeta" tan sólo es necesario el código PUK de la tarjeta. Desde el teléfono de soporte de MoviStar 1485 se dice al usuario que también necesita presentar su DNI, pero éste no es registrado en ningún caso y al indagar más sobre ello hemos recibido la respuesta en el 1485 de que se trata de algo "recomendable" y no necesario. Hemos realizado pruebas y ni siquiera se nos ha solicitado tal dato.
El atacante puede obtener el código PUK de su víctima mediante una simple recarga de saldo al móvil de ésta y una llamada al 1485, ya que para obtener el código PUK de una tarjeta basta con dar el número de móvil y la fecha de la última recarga como datos.
De esa forma el atacante puede hacerse primero con el código PUK mediante una recarga de saldo al móvil de la víctima y luego con su número de móvil más su saldo realizando un "duplicado de tarjeta" (con el código PUK anteriormente obtenido) en cualquier distribuidor MoviStar, dejando la tarjeta de su víctima inservible.
Nota:
Las pruebas se han realizado con consentimiento previo de un usuario de MoviStar Activa y sin causar ningún perjuicio a ningún usuario de Telefónica MoviStar.
> Los afectados
Este agujero de seguridad afecta a TODOS LOS USUARIOS DE MOVISTAR ACTIVA.
- Cómo saber si usted está afectado
Si usted es cliente de MoviStar Activa y al encender su teléfono móvil pasan unos minutos y su teléfono sigue buscando la red (no tiene cobertura) pese a estar en un lugar al aire libre en el que teóricamente debería haber cobertura (si alguna persona con red MoviStar que se encuentre cerca de usted tiene cobertura y usted no) es posible que hallan realizado un duplicado de su tarjeta. Si en los últimos días había recibido una recarga de saldo de alguna extraña "promoción" o alguna otra recarga no solicitada es muy probable que así sea.
- Cómo recuperar su tarjeta
Si cree que han realizado un duplicado de su tarjeta sin su consentimiento llame inmediatamente al 1485 y comuníqueselo al operador que le atienda. Dígale cuándo recibió la última recarga (si recibió una recarga no solicitada, indíquelo) y solicite el código PUK que le será necesario para realizar un duplicado de tarjeta. Se trata de duplicar la tarjeta que anteriormente le habían duplicado a usted para recuperar su número y que la tarjeta del primer duplicado quede inservible. Acérquese a cualquier distribuidor MoviStar con su código PUK y su DNI y solicite un duplicado de tarjeta (es gratuito). Le entregarán una nueva tarjeta que volverá a tener su número de teléfono. Esto no evitará que siga siendo vulnerable y que pueda volverle a ocurrir en otra ocasión.
Nota: Suponemos y esperamos que al haber salido a la luz esta vulnerabilidad se empezará a registrar el DNI de las personas que soliciten un duplicado de tarjeta por motivos de seguridad.
- Medidas de prevención para usuarios de MoviStar Activa
1. Llevar un registro de las fechas en las que se han realizado las últimas recargas y guardar el código PUK y el número de la tarjeta por si acaso.
2. Llamar al soporte de MoviStar 1485 (número gratuito) avisando de nuestro problema en caso de recibir una recarga NO SOLICITADA.
Eso es todo.
zenx
http://www.ciberseleccion.com.
PD: Aprovechamos este mensaje para solidarizarnos con http://www.timofonica.org. Si alguien puede apoyarles y cree justa su causa siempre está a tiempo para colaborar
------------------------------------------------------------------------
un saludo,
emovil
------------------------------------------------------------------------
Desde ciberseleccion.com hemos descubierto un fallo de seguridad en el servicio de MoviStar Activa de Telefónica. Este agujero de seguridad permite a cualquier persona "robar" fácilmente el número de teléfono a cualquier usuario de MoviStar Activa.
La poca información que Telefónica MoviStar solicita para saber cuál es el código PUK de un teléfono móvil unido a la facilidad para realizar un duplicado de tarjeta a partir de dicha información hace que TODOS los usuarios de MoviStar Activa sean vulnerables. Hemos realizado algunas pruebas en las que la poca seguridad del servicio MoviStar Activa se ha hecho notable.
Esperamos que a partir de ésta noticia Telefónica MoviStar tome cuanto antes medidas de seguridad para evitar que se realicen estos actos y para interceptar a aquellos que los cometen.
> La vulnerabilidad
Telefónica MoviStar ofrece un servicio de "Duplicado de tarjeta" a sus clientes de MoviStar Activa. El duplicado se realiza gratuitamente en cualquier los distribuidores MoviStar y sirve para que, en caso de pérdida o robo de la tarjeta el usuario reciba una tarjeta nueva con el número de teléfono que anteriormente poseía. Al asignar a la nueva tarjeta el número de teléfono del usuario la tarjeta perdida/robada queda inservible.
Para realizar un "duplicado de tarjeta" tan sólo es necesario el código PUK de la tarjeta. Desde el teléfono de soporte de MoviStar 1485 se dice al usuario que también necesita presentar su DNI, pero éste no es registrado en ningún caso y al indagar más sobre ello hemos recibido la respuesta en el 1485 de que se trata de algo "recomendable" y no necesario. Hemos realizado pruebas y ni siquiera se nos ha solicitado tal dato.
El atacante puede obtener el código PUK de su víctima mediante una simple recarga de saldo al móvil de ésta y una llamada al 1485, ya que para obtener el código PUK de una tarjeta basta con dar el número de móvil y la fecha de la última recarga como datos.
De esa forma el atacante puede hacerse primero con el código PUK mediante una recarga de saldo al móvil de la víctima y luego con su número de móvil más su saldo realizando un "duplicado de tarjeta" (con el código PUK anteriormente obtenido) en cualquier distribuidor MoviStar, dejando la tarjeta de su víctima inservible.
Nota:
Las pruebas se han realizado con consentimiento previo de un usuario de MoviStar Activa y sin causar ningún perjuicio a ningún usuario de Telefónica MoviStar.
> Los afectados
Este agujero de seguridad afecta a TODOS LOS USUARIOS DE MOVISTAR ACTIVA.
- Cómo saber si usted está afectado
Si usted es cliente de MoviStar Activa y al encender su teléfono móvil pasan unos minutos y su teléfono sigue buscando la red (no tiene cobertura) pese a estar en un lugar al aire libre en el que teóricamente debería haber cobertura (si alguna persona con red MoviStar que se encuentre cerca de usted tiene cobertura y usted no) es posible que hallan realizado un duplicado de su tarjeta. Si en los últimos días había recibido una recarga de saldo de alguna extraña "promoción" o alguna otra recarga no solicitada es muy probable que así sea.
- Cómo recuperar su tarjeta
Si cree que han realizado un duplicado de su tarjeta sin su consentimiento llame inmediatamente al 1485 y comuníqueselo al operador que le atienda. Dígale cuándo recibió la última recarga (si recibió una recarga no solicitada, indíquelo) y solicite el código PUK que le será necesario para realizar un duplicado de tarjeta. Se trata de duplicar la tarjeta que anteriormente le habían duplicado a usted para recuperar su número y que la tarjeta del primer duplicado quede inservible. Acérquese a cualquier distribuidor MoviStar con su código PUK y su DNI y solicite un duplicado de tarjeta (es gratuito). Le entregarán una nueva tarjeta que volverá a tener su número de teléfono. Esto no evitará que siga siendo vulnerable y que pueda volverle a ocurrir en otra ocasión.
Nota: Suponemos y esperamos que al haber salido a la luz esta vulnerabilidad se empezará a registrar el DNI de las personas que soliciten un duplicado de tarjeta por motivos de seguridad.
- Medidas de prevención para usuarios de MoviStar Activa
1. Llevar un registro de las fechas en las que se han realizado las últimas recargas y guardar el código PUK y el número de la tarjeta por si acaso.
2. Llamar al soporte de MoviStar 1485 (número gratuito) avisando de nuestro problema en caso de recibir una recarga NO SOLICITADA.
Eso es todo.
zenx
http://www.ciberseleccion.com.
PD: Aprovechamos este mensaje para solidarizarnos con http://www.timofonica.org. Si alguien puede apoyarles y cree justa su causa siempre está a tiempo para colaborar
------------------------------------------------------------------------
un saludo,
emovil