Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "El fallo de Entel que dejó vulnerables a sus clientes" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
Desde hace algunos meses la empresa de telecomunicaciones Entel presenta un fallo de seguridad que afecta al portal web “Mi Entel”, utilizado por sus clientes para acceder a información de su cuenta, revisión del estado del plan de datos, llamadas realizadas, contratación de nuevos servicios, etc. Para ingresar a la sección de “cliente” es necesario ingresar el número de celular, RUT y la clave de cuatro dígitos, sin embargo, explotando esta vulnerabilidad es posible iniciar sesión solo con el número de celular.
Segun los antecedentes recopilados via twitter, este fallo ya está siendo explotado por atacantes robando puntos zona entel a las víctimas. En esta imagen compartida vía twitter se puede ver un usuario con mas de $300.000.- en saldo y con bolsas de navegación de 7GB
La alerta respecto a este fallo de seguridad la dio @r4c3, luego de verificar la vulnerabilidad y haber realizado las pruebas correspondientes, el detalle es el siguiente.
La URL vulnerable, mediante la cual podíamos iniciar sesión estaba bajo el subdominio mipcs.entelpcs.com
Al reemplazar las XXXXXXXX, el sistema nos redireccionaba a
Y nos daba la bienvenida como si nos hubiesemos autenticado con el RUT y con la clave del número XXXXXXXX.
Y podemos acceder al menú completo
Acceder a sus datos personales e incluso poder modificarlos
Conocer el PIN y el PUK
Acceder a información de la cuenta mensual y detalles de sus llamadas y SMS
Y finalmente, lo que a muchos les llamó la atención, el acceso a la sección de “puntos zona entel” permitiendo canjear puntos a nombre de otra persona para obtener saldos de navegación, bolsas de llamadas o mensajes, etc.
Muchos clientes de Entel se quejaron de que en algunas ocasiones sus puntos habían desaparecido o habían sido canjeados sin su autorización, incluso algunos contaban que al llamar al CallCenter recibian respuestas de que la plataforma no tenía ningun problema.
El problema fue reportado y al parecer ya se encuentran solucionando el incidente, ya que la plataforma lleva varias horas “en mantención”
Hasta ahora no existe información oficial por parte de Entel respecto a los usuarios afectados. Según el cache de Google, esta vulnerabilidad existe al menos desde hace 4 meses.
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "El fallo de Entel que dejó vulnerables a sus clientes" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
agosto 27, 2014 a las 10:06 am
Wena info Zerial
agosto 27, 2014 a las 10:41 am
Increible,pero no me sorprende mucho, lamentable por los clientes, supongo que debera haber algun tipo de compensacion a los usuarios o algo por el estilo, no sabes algo de eso?. Excelente tu blog!, Saludos
agosto 27, 2014 a las 10:44 am
Seba: Hasta el momento Entel no se ha pronunciado y los clientes que han reclamado no han obtenido respuesta satisfactoria por su parte
agosto 27, 2014 a las 11:18 am
así con la computation… a cuidar los hoyos
no falta el wn que quiere que aprovecharse y exige compensación por nada
agosto 29, 2014 a las 12:32 pm
Asi pues, cuide bien su hoyo 🙂
octubre 7, 2014 a las 9:56 pm
bueno, yo antes podía hacer algunos truquillos con los puntos y canjearlos por recargas (c0n mi propia cuenta, claro está)… en fin…
octubre 13, 2014 a las 2:56 am
Cuando uno ingresa un reclamo a ENTEL , introducen un error en la dirección con la respuesta, se “tragan” la primera letra de la dirección y también la después del punto y califican el reclamo como SOLUCIONADO, mientel