Serie numérica consecutiva permite estimar la cantidad de recargas del exterior de ETECSA en Cuba

Serie numérica consecutiva permite estimar la cantidad de recargas del exterior de ETECSA en Cuba

Knal.es - Luilver Garces
El operador telefónico tiene una brecha de seguridad en el identificador de sus recargas internacionales.


Seguro muchos se habrán dado cuenta ya que, revisando el mensaje de confirmación de recarga del exterior de Cubacel, podemos apreciar un número de transacción entre otras informaciones propias del beneficio recibido:

El identificador asociado a la transacción es un campo numérico en la base de datos del servicio.


Con una simple operación matemática podemos entonces saber la cantidad de transacciones de ese tipo entre un identificador y otro. Por ejemplo, en la imagen anterior, si restamos el más antiguo de los identificadores (el de abajo) al más reciente (el de arriba) podemos obtener la cantidad de transacciones que han ocurrido en el período transcurrido entre las 2 recargas:

116014270 - 115069782 = 944488


Asumiendo que el costo de una recarga del exterior es de 18 USD podemos, multiplicando el resultado de la resta anterior por 18, llegar a una cifra estimada del ingreso que obtuvo el operador teléfonico por el servicio en cuestión.

944488 * $18 = $ 17.000.784 USD


La cifra estimada, para el periodo comprendido entre el 19 de abril y el 4 de mayo de 2019, es 17 millones de dólares americanos.


La práctica de usar campos numéricos «autoincrementables» constituye una brecha de seguridad de las menos críticas y a la vez en las que más se suele incurrir, según detalla el siguiente artículo en el blog de Clever Cloud:

http://www.clever-cloud.com/blog/engineering/2015/05/20/why-auto-increment-is-a-terrible-idea

Una buena recomendación para la compañía telefónica, detalla el post, es cambiar dicho identificador numérico por uno universalmente único (UUID por sus siglas en Inglés)