Telmex fuga de información

El portal de telmex http://online.telmex.com puede exponer información en el buscador de google. Esto porque google indexa las peticiones enviadas por el método GET al servidor de Telmex. En este caso el módulo de login de clientes de la empresa.

En la imagen anterior se observa claramente una URL de Telmex en google con los parámetros nombre de usuario (número de teléfono) y su contraseña.

Al entrar al enlace realiza la autenticación y responde con un mensaje de que el usuario y contraseña son incorrectos.

El campo de la contraseña puede ser cambiado de tipo “password” a tipo “text”.

Podemos obtener otro enlace de Google con usuario y password válidos y realizar la autenticación.
http://www.online.telmex.com/mitelmex/acceso_live.jsp?T=125&opcion=1&USR=8183******&CVEACC=vm56****&CE=7

Y estamos dentro de la cuenta del cliente.

Podemos encontrar muchas mas cuentas.




También podemos utilizar otros filtros:

telmex inurl:CVEACC
telmex.com inurl:USR

Se debe prestar atención a este fallo de seguridad.

Saludos , zer0max!

One Comments

  • Fernando Acosta 23 febrero, 2017 Reply

    Madre mía tío, así seguro pueden hacer cargo en mi recibo y yo ni en cuenta.

Deja un comentario