Un fallo de seguridad de Mijazztel.com, web de un proveedor de Jazztel, compañía del Grupo Orange, ha dejado al descubierto casi un millón de números de móvil alojados en una base de datos, tal y como ha podido saber Vozpópuli. La incidencia ha sido ya solucionada sin fuga de información alguna, según aseguran fuentes de Orange, que recalcan que se trata de un problema sufrido por un proveedor, en ningún caso propio.

La página web Mijazztel.com es propiedad de ADSL House, distribuidor oficial de Jazztel dedicado a la captación de clientes a través de Internet. Ha estado funcionando, al menos durante los dos últimos meses, con un fallo de seguridad de tipo SQL Injection.

La vulnerabilidad se encontraba en el desarrollo de la web, cuya construcción corrió a cargo de Vector Software Factory. Esta empresa firma a pie de página como responsable de su creación para ADSL House. Es quien programó de forma defectuosa la web, provocando el fallo de seguridad.

La base de datos estuvo desprotegida al menos durante dos meses

Como decimos, Mijazztel.com se dedica a captar clientes para Jazztel a través de esta dirección. En ella se publican ofertas del operador propiedad de Orange. El usuario interesado en alguna de las propuestas tiene dos opciones para acceder a las mismas. Puede dejar su número de teléfono para que los profesionales de ADSL House contacten posteriormente con él o llamar directamente a un número gratuito para informarse.

Los números facilitados por los internautas se guardan en una base de datos. Es precisamente ese fichero el que estuvo desprotegido. Desde Software Factory subrayan que no han detectado robo alguno de información.

Esta vulnerabilidad fue descubierta y reportada a Vector Software Factory por el experto en ciberseguridad y bug hunter (cazador de bugs en castellano) Touseef Gul. "Se trata de un código insertado en las webs mencionadas que estaba desactualizado. Esto permite a un tercero inyectar otras líneas de código para tomar el control de determinadas partes de las páginas web", asegura Touseef.

En esta ocasión el fallo fue descubierto por un hacker ético e investigador en ciberseguridad, no por cibercriminales. En este último caso, con toda seguridad hubieran robado los datos desprotegidos para venderlos posteriormente en la deep web, el mercado negro de Internet.

SQL Injection

"Los ataques de inyección SQL son casi siempre consecuencia del desarrollo de aplicaciones web o móvil que no contemplan las medidas de seguridad necesarias. Esto permite a un usuario introducir parámetros sin control y seguridad en una consulta online. Suele tratarse de un formulario web, aunque existen otros escenarios", declara Miguel López, director general de Barracuda Networks en Iberia, empresa dedicada a ofrecer productos de ciberseguridad.

López concluye que "si la aplicación no valida y restringe de manera efectiva los términos que es posible introducir en el formulario, el atacante puede forzar a la base de datos SQL a devolver resultados de búsqueda con información confidencial que no debería mostrarse, borrando o alterando registros o causando otros problemas".

Los casos de SQL Injection son habituales en el mundo de la ciberseguridad. Este diario se ha hecho eco en los últimos meses de dos casos sufridos por la Generalitat de Catalunya y también por la compañía aérea Vueling, propiedad de IAG.