Estaba revisando mis movimientos en la página y me llamó la atanción lo mucho que demoraban las peticiones. Entonces entré en el modo desarrollador del browser y mi fijé cómo era la petición HTTP para ejecutarla yo.
Aqui un ejemplo modificado de la url:
https://online.movistar.com.ar/services/movimientoServlet?fechaDesde=14042014&fechaHasta=14042014&categoria=&orden=0&numeroLinea=XXXXXXXXXX
Como conté en otro post las peticiones HTTP pueden tener una serie de parámetros que se envían al servidor. En este caso me sorprendí bastante con los parámetros:
- fechaDesde y fechaHasta, indican el período en el que se quieren ver los movimientos
- categoria, indica qué tipo de movimientos, vacío es todo de tipo
- orden, este parámetro no entendí bien su uso, pero no importa demasiado
- ¿numeroLinea?
El último parámetro es el número de línea, y era mi número de celular. Por lo que pensé que si cambiaba este parámetro por otro número ¡podría ver los llamados y SMS hechos por cualquier otro número de Movistar!
Esperaba que sucediera algún tipo de error, pero no. Funcionó. Ingresé varios números de amigos clientes de Movistar y pude ver sus movimientos.
Nota: el formato de la respuesta es JSON, pero si se presta atención se puede entender un poco. También hay herramientas que ayudan a visualizar estos formatos.
Para reproducir el bug:
- Ingresar a la web de movistar
- Loggearse con usuario y contraseña. Si tienen uno se pueden registrar.
- En la barra de direcciones escribir una url como la siguiente reemplazando las "X", con código de area, por su número de línea: https://online.movistar.com.ar/services/movimientoServlet?numeroLinea=XXXXXXXXXX&fechaDesde=14042014&fechaHasta=14042014&categoria=&orden=0
Espero que arreglen esto pronto.
Saludos