UN CARO ERROR DE CONFIGURACIÓN
Mercè Molist
Un error de configuración en
un servicio en pruebas habría sido la causa del agujero en la base
de datos de Telefónica, según el experto en seguridad, Jesús
Cea, quien asegura: "Que la máquina esté como un 'gruyére'
no tiene nada que ver con 'hackers' sinó que es un problema de buenos
profesionales. Nadie ha entrado usando un oscuro fallo, es un problema
de quien lo configuró. Posiblemente era un producto en desarrollo".
Según el servicio RIPE (Réseaux IP Européens), el
ordenador vulnerable, que daba entrada sin contraseña a la base
de datos, es efectivamente una "conexión corporativa de Telefónica,
para proveer acceso a Internet a los empleados".
El fallo no ha sorprendido en los entornos
de seguridad informática, donde hace tiempo que se avisa contra
las consecuencias de no tener buenos administradores de sistemas al frente
de los cada vez más servicios que se ofrecen en la red. Lo demuestra
la aparición reciente de parecidos agujeros en servidores web del
ministerio de Hacienda, Anaya, la tienda musical Weblisten, bancos europeos
y la mayoría de sistemas de carrito de compra virtual. La causa
común es un mala instalación de los programas o fallos en
los mismos.
A pesar de ser técnicamente
otro caso del montón, se perfila como uno de los más graves
contra la privacidad, en la red española. Precisamente justo cuando
hace dos meses acababa el plazo de adaptación al nuevo Reglamento
de Seguridad de la LORTAD, que obliga a todos los sistemas que alberguen
datos personales a protegerlos con "medidas adecuadas de seguridad informática".
COMUNICADO DE FRONTERAS ELECTRÓNICAS
AL RESPECTO (07/03/00)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
FrEE EXIGE A TELEFONICA QUE DEJE DE
JUGAR CON NUESTROS DATOS
La semana pasada,
un error de configuracion en un servicio de la
compañia Telefonica
dejaba al descubierto todo tipo de informacion
personal y financiera
de sus 17 millones de clientes en España. Al
acceder a una pagina web, se
entraba a la base de datos y, despues de
introducir un numero
de telefono, aparecian el contrato (nombre,
domicilio, telefono y DNI),
datos de la factura (fecha de emision del
ultimo recibo, numero de factura),
datos de domiciliacion bancaria del
abonado (entidad y
numero de cuenta) y factura detallada de las
llamadas, con informacion
sobre su destino, duracion y numero de
telefono al que se llama.
Absolutamente todo accesible
desde, como maximo, un año atras, cuando
se puso en marcha este servicio
de Telefonica sin que, al parecer, se
haya consultado en ningún
momento a los usuarios si deseaban disponer
de el. Para mas
inri, no era preciso saltarse ninguna barrera de
seguridad para entrar
en la base de datos, no se requeria ninguna
contraseña. El error era sencillamente
un servidor mal configurado por
Telefonica. No es esta la primera
vez que corren por Internet datos de
usuarios de servicios de telecomunicaciones,
especialmente proveedores
poco preocupados por
su seguridad, pero nunca hasta ahora, que se
conozca, se habian
podido obtener tantos y tan importantes datos de
una persona, por un error totalmente
previsible y por ello acreedor de
una sanción por negligencia
extrema.
Esta nueva hazaña
de Telefonica la coloca ciertamente en el 'hit
parade' de chapuzas contra
la privacidad en Internet. Justo, ademas,
dos meses despues de que
en España acabase el plazo de adaptacion al
nuevo Reglamento de Seguridad
de la LOPD (Ley Orgánica de Protección
de Datos de Carácter
Personal, antes LORTAD), que obliga a todos los
sistemas que alberguen
datos personales a protegerlos con "medidas
adecuadas de seguridad
informática". Mas alla de excusas,
FrEE
encuentra surrealista que datos
confidenciales de clientes estuvieran
en Internet al acceso
de todo el mundo, cuando cualquier empresa u
organización, por
pequeña y humilde que sea, sabe que estos datos
nunca han de estar
on-line, sino protegidos en ordenadores que no
tengan salida a la Red.
Desde Fronteras Electronicas reclamamos
a Telefonica que acabe con los
alucinantes episodios de pirateo
e ilegalidades con nuestros datos, a
los que nunca nos
tendra suficientemente acostumbrados. Despues de
descubrir que la
mayoria de empresas de correo comercial
han
conseguido nuestros nombres
y direcciones comprandoselas directamente
a Telefonica (servicio tambien
gratuito al que nos han 'apuntado' sin
preguntar) nos cuesta imaginar
todas las implicaciones de que tambien
nuestros datos financieros
y telefonicos sean considerados por
Telefonica como algo
publico. Esperamos asimismo que la Agencia de
Protección de Datos actúe
con toda severidad, imponiendo a Telefónica
la sanción a que se ha hecho
acreedora por su extrema negligencia
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.1i for non-commercial
use <http://www.pgpi.com/>
iQA/AwUBOMVtle/4p9HCmzViEQJMNACdGssjcinPQks7ElGFUZ+YDlFeJ9AAn3IX
Dm7Dgv9gc7mw4SVjPWo9Wydr
=S3AG
-----END PGP SIGNATURE-----