安全漏洞导致“数百万”Telefonica客户曝光的个人数据

2017年5月12日，一场前所未有的勒索软件爆发感染了全世界数千台计算机，并造成了不可见的严重破坏。臭名昭着的WannaCry压力袭击了普通用户和大型组织，造成了巨大的经济损失。 Telefonica是一家总部位于西班牙的跨国电信提供商，也是最大的WannaCry受害者之一。 14个月后，WannaCry落后于他们，他们还有另一个网络安全问题需要担心。这是一个很大的问题。显然，Telefonica无意中遗漏了数百万西班牙客户的个人数据。

在西班牙，Telefonica以Movistar品牌运营，据报道是该国最大的移动电话运营商，同时还提供固定电话，宽带和付费电视服务。像所有优秀的服务提供商一样，它有一个网站，客户可以登录，激活或取消激活功能和服务，监控使用情况并查看发票。当他们注意到一个大问题时，有人显然正在检查他们的发票。

周一，Telefonica修补了它，不久之后，专门保护消费者权利的西班牙非政府组织FACUA宣布了细节。在查看发票时，客户可以在URL中看到与发票号码相同的简短字母数字代码。如果您要更改另一个有效发票号的URL中的代码，系统将显示所述发票，无论它是否属于您。换句话说，登录意味着您可能花费数小时浏览已发给随机人员的Movistar发票。

正如您可能想象的那样，发票中包含大量个人信息，包括姓名，电子邮件和帐单地址，电话号码，通话记录，国家身份证号码等。因此，FACUA将此问题称为“最大的安全漏洞”在西班牙电信史上。“我们不确定这是否是一个非常准确的描述。

西班牙电信历史上最大的安全漏洞或网站漏洞？

Telefonica的人员仍在调查，但就目前而言，没有人发现有任何证据表明网络犯罪分子正在利用此漏洞并窃取用户数据。如果事实证明数据已被泄露，那么我们确实可以说是违规。在那之前，我们有一个在线系统，其中存在很大的安全漏洞。

Movistar的网站很容易受到名为资源枚举的攻击。简而言之，资源枚举意味着使用资源的URL（在本例中为发票），您可以看到猜测您不应该看到的资源的URL。不用说，攻击可以自动化，并且相对容易实现。我们希望日志不会泄露任何剥削的证据。

措辞很重要，但客户数据更重要

Telefonica遇到了麻烦，这是正确的。他们说他们正在调查造成这个问题的原因，但从事情看来，它似乎植根于糟糕的设计，当你处理数千万人的数据时，这并不是非常好。

请记住，Movistar在欧盟运营，这意味着适用GDPR规定。这意味着这家电信巨头可能面临数千万美元的罚款。该国的数据保护机构也在调查此事，可能会有一些自己的话要说。

当你让其他人担心这一切时，你可以做的不仅仅是停下来想想你委托你的数据有多少像Telefonica这样的组织。您也可以考虑有多少人会像西班牙电信公司那样失败。