PepePhone.com: Desastres en seguridad informática
Después de estar poniendo a prueba los sistemas de la compañía telefónica PepePhone, creada por AirEuropa en su línea ‘Pepe’, suspenden totalmente en la seguridad informática.
Aquí indicamos los principales fallos:
- No cifrado de Password, al contrario que todas las compañías normales que transforman la contraseña en un Hash MD5 o SHA1, pepephone las conserva en texto plano.
- Cambio de contraseña sin autorización del usuario. En muchos sistemas cuando seleccionas ‘He olvidado la contraseña’, te envían un enlace al email para poder cambiar la contraseña, pero no se te envía una contraseña nueva normalmente. La razón por la que no se envía (como le pasaba antes a Tuenti) es que ninguna otra persona cree un programa que genere una contraseña diferente de tú cuenta cada 5 minutos, pues bien, pepephone es vulnerable, se generan contraseñas aleatorias.
- Y el tercero y más importante es que en ciertas páginas se encuentra en el código fuente la contraseña en texto plano, por ejemplo en el apartado “Progama Habla y Vuela“.
Fuente: http://seguridad.dimitrix.es/index.php/2010/11/28/pepephone-com-desastres-en-seguridad-informatica/