8.12.13

Movistar almacena de forma insegura las contraseñas de sus usuarios

Adquiri una linea de Movistar para probar el servicio de 3G y, ya que estaba, queria ver que gestiones podia realizar desde su sitio web.

Para empezar, en el formulario de registracion, el link a los Terminos y Condiciones no funcionaba:





Una vez completado el formulario de registro, se envia un e-mail a nuestra casilla de correo y me parecio muy sospechoso que el password de mi cuenta estaba incluido en el e-mail.


Fui a la pagina de "Actualizar perfil" y me encuentro con los campos de contraseña completos:


Al inspeccionar esos elementos del formulario, confirmo mis sospechas: mi contraseña esta siendo almacenada en texto plano.

<input type="password" maxlength="32" size="43" value="a123456" onblur="checkPasswordStrength(formObject['password'].value);" name="password" id="password">

Almacenar las contraseñas en texto plano es una pesima practica de seguridad, casi una mala palabra en el ambiente. Como alternativa a esta mala practica, se suelen cifrar o usar hashes para almacenarlas: haciendo esto se evitaria, en caso de que la base de datos de Movistar sea comprometida, que las contraseñas de los usuarios puedan obtenerse de forma trivial.

El blog de Mozilla tiene un articulo interesante sobre el tema: Let’s talk about password storage