PepePhone.com: Desastres en seguridad informática

Después de estar poniendo a prueba los sistemas de la compañía telefónica PepePhone, creada por AirEuropa en su línea ‘Pepe’, suspenden totalmente en la seguridad informática.

Aquí indicamos los principales fallos:

- No cifrado de Password, al contrario que todas las compañías normales que transforman la contraseña en un Hash MD5 o SHA1, pepephone las conserva en texto plano.

- Cambio de contraseña sin autorización del usuario. En muchos sistemas cuando seleccionas ‘He olvidado la contraseña’, te envían un enlace al email para poder cambiar la contraseña, pero no se te envía una contraseña nueva normalmente. La razón por la que no se envía (como le pasaba antes a Tuenti) es que ninguna otra persona cree un programa que genere una contraseña diferente de tú cuenta cada 5 minutos, pues bien, pepephone es vulnerable, se generan contraseñas aleatorias.

- Y el tercero y más importante es que en ciertas páginas se encuentra en el código fuente la contraseña en texto plano, por ejemplo en el apartado “Progama Habla y Vuela“.

Fuente: http://seguridad.dimitrix.es/index.php/2010/11/28/pepephone-com-desastres-en-seguridad-informatica/

Realmente es muy triste, en España no se enseña ni en FP superior ni en la universidad a programar de forma segura, es una vergüenza.

Si yo solo he conseguido descubrir fallos en 3 bancos importantes, en casi todas las compañías telefónicas y en un montón de páginas del gobierno, me imagino que los expertos en seguridad web andarán por Internet como si fuera por su casa, cogiendo lo que quieren de donde quieren.

Sí, hablé con el Director y los solucionaron a las pocas horas.

Te animo a que 'investigues' hay muchos fallos más^^

Jaja habra que investigar  dimitrix ...