Falla en la API de filtro de llamadas de Verizon dejó al descubierto el historial de llamadas entrantes de los clientes.
Publicado enNoticias

Falla en la API de filtro de llamadas de Verizon dejó al descubierto el historial de llamadas entrantes de los clientes.

No hay comentarios

Vulnerabilidad en Verizon Call Filter expone registros de llamadas entrantes a través de API insegura

Una vulnerabilidad crítica en la función Call Filter de Verizon permitió que usuarios accedieran a los registros de llamadas entrantes de otros números de Verizon Wireless mediante solicitudes no autenticadas a una API. Este fallo de seguridad, reportado inicialmente por investigadores independientes, expuso datos sensibles debido a una implementación deficiente de controles de acceso.

Detalles técnicos de la vulnerabilidad

El problema radicaba en una API utilizada por el servicio Call Filter, diseñado para bloquear llamadas no deseadas. La API carecía de:

  • Validación adecuada de tokens de sesión
  • Mecanismos de autorización entre solicitudes
  • Protección contra enumeración de IDs

Los atacantes podían manipular parámetros en las solicitudes HTTP (como el número de teléfono objetivo) para recuperar historiales completos de llamadas sin necesidad de credenciales válidas. La API respondía con metadatos detallados, incluyendo:

  • Números de origen de las llamadas
  • Fechas y horas exactas
  • Duración de las llamadas
  • Etiquetas de identificación (spam, bloqueadas, etc.)

Implicaciones de seguridad

Esta exposición representaba múltiples riesgos:

  • Violación de privacidad: Acceso no autorizado a patrones de comunicación personales o empresariales
  • Ingeniería social: Los datos podrían usarse para ataques dirigidos más sofisticados
  • Cumplimiento normativo: Potencial incumplimiento de regulaciones como GDPR o CCPA

Respuesta y mitigación

Tras el descubrimiento, Verizon implementó correcciones que incluyeron:

  • Autenticación reforzada en todos los endpoints de la API
  • Validación estricta de parámetros de entrada
  • Implementación de rate limiting para prevenir ataques de enumeración
  • Revisión exhaustiva de otros servicios con arquitecturas similares

Este incidente destaca la importancia de:

  • Pruebas rigurosas de APIs antes de su despliegue en producción
  • Implementación del principio de mínimo privilegio
  • Monitoreo continuo de accesos a datos sensibles

Para más detalles sobre el caso original, consulta la Fuente original.

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta