El fallo de seguridad de ADSL House se ha solucionado ya sin consecuencias graves, a pesar de haber permanecido activo durante los dos últimos meses.
ADSL House dedica su actividad a la captación de clientes para la operadora telefónica de Jazztel, dentro del Grupo Orange. Hoy se ha sabido que un gran número de contactos de clientes han permanecido sin protección durante meses en la web de la empresa.
La página web Mijazztel.com es la fuente afectada por el fallo de seguridad. Un problema que permitía que algún ciberdelincuente robara la información de los clientes de Jazztel, más de un millón que debían estar protegidos en la base de datos de esta compañía, según explica Vozpópuli.
El fallo de seguridad es de tipo SQL Injection, un tipo de fallo que se suele dar por la desactualización del sistema. Los atacantes podrían haber inyectado un código para tomar el control de determinadas partes de la página web y, tras robar los datos de los clientes, venderlos en la deep web.
La construcción de la página Mijazztel.com es responsabilidad de la empresa Vector Software Factory, la misma que ha dado el aviso al descubrir el fallo que ya está solucionado. Esta vez, por suerte, la brecha de seguridad ha sido detectada por un hacker ético, es decir, un investigador de ciberseguridad que ha alertado del problema para buscar su solución.
ADSL House asegura que la brecha ya está reparada y que no se ha producido ningún robo al respecto, por lo que los clientes pueden estar tranquilos. Para conseguir nuevos clientes para Jazztel, en esta web se publican ofertas del operador y el usuario interesado puede dejar su número de teléfono para que los profesionales de ADSL House contacten posteriormente con él o llamar directamente a un número gratuito para informarse. Esos datos se guardan en esa base de datos.
Los fallos por SQL Injection son habituales en informática y los hemos visto en ocasiones anteriores como la brecha de seguridad de la web de la Generalitat de Cataluña. Según el nuevo Reglamento General de Protección de Datos (GDPR), las empresas están obligadas a informar de ciertos tipos de brechas de datos dentro de las primeras 72 horas de detección.