Posible fallo en Vodafone Club 2020
El nuevo servicio de Vodafone (Club 2020) ofrece regalos (sms por lo general) a cambio de que recibas publicidad de diferentes categorías.
En un intento de automatizar el uso del servicio (después de conseguir mediante el "rasca y gana" 20 sms gratuitos) encontramos un posible fallo que permite el envio de mensajes de una forma algo "tosca" pero que puede suponer un problema, tanto para el operador como para los usuarios.
Por lo que parece, comentandolo con compañeros, cuando se realiza una petición sobre el servicio sin incluir un usuario concreto no se realiza una validación previa y la 'base de datos' devuelve los datos del usuario al que en ese momento este apuntando. Lo que permite el envio del mensaje de forma gratuita al destinatario indicado en caso de que el usuario tenga mensajes en su cuenta.
Después de ponernos en contacto con Vodafone y obtener como respuesta: "No tenemos detectada ninguna incidencia del tipo que nos comenta. Si persiste la incidencia contacte con el 123". Hemos decido publicar esta entrada con el objetivo de alertar a los usuarios del servicio, ya que estan expuestos a un posible ataque.