La vulnerabilidad afecta a todos quienes hayan realizado algun tipo de transacción en el portal, al parecer corresponde a un log que va rotando diariamente, por lo que solo se podía acceder a la información del día.
Especificamente, la dirección donde se alojaban estos archivos corresponde a
https://m.bancoestado.cl/log/log.txt, una URL facil de adivinar. Sin protección.
Dentro del archivo aparecían líneas como por ejemplo
[13] DEBUG Transferencias_Paso3 – TxtCoord1 [78]
[13] DEBUG Transferencias_Paso3 – TxtCoord2 [17]
[13] DEBUG Transferencias_Paso3 – TxtCoord3 [64]
Que corresponden a los tres numeros de la tarjeta de coordenadas que el banco solicita al usuario: 78, 17 y 64. Si bien no es posible obtener a que numero de coordenadas corresponden (por ej: B1, C5, H3), es información sensible que podría ser utilizada por un atacante.
Luego de eso, aparecian otras lineas que contienen información como:
08-07 00:02:36 [14] DEBUG BankingService – POST FINAL [controlBack=1&NumClick=1&FuncionalidadPlantillas=SI&ProdDestino=Cuenta Corriente&[b]RutTercero=5.XXX.XXX-1[/b]&
NomTercero=GRXXXXX OLIVARES&
NomOrigen=ROBERTO XXXXXX PONCE XXXXXXX &NomTrans=Transferencia a Terceros&
CtaTercero=0000000050010001XXXX&MailTercero=&
[email protected]&CodBancoTercero=504&NomBanco=BANCO BILBAO VIZCAYA ARGENTARI&txtCodBcoterc=CCT&SaldoDisponible=XXX.XXX&SaldoDisponibleLCR=0&SaldoDisponibleTOTAL=XXX.056&TipoAuth=GRID&Serie=XXXXXX&
Parte_1=F&Parte_2=2&Parte_3=F&Parte_4=3&Parte_5=C&Parte_6=2&CuentaDestino=0000000050010001XXXX&txtUserName=ROBERTO XXXXXX PONCE XXXXXX&
coord_1=27&coord_2=22&coord_3=95&PWD=LA_PASSWORD!&
strIP=ip.interna.del.banco]
08-07 00:02:36 [14] DEBUG BankingService – URL FINAL [
https://personas.ban...ssnid=399E8BD1]
08-07 00:02:36 [14] INFO WebBrowser – Invocando [
https://personas.ban....cl/bancoestado
08-07 00:02:37 [56] INFO Global – breadcum: [161280380][
https://m.bancoestad....aspx?smn=chee]
08-07 00:02:37 [56] DEBUG SessionWebAuthentication – False
08-07 00:02:37 [14] DEBUG WebResponse – Leerá HTML usando Charset: [ISO-8859-1] y Encoding: [System.Text.Latin1Encoding]
08-07 00:02:37 [14] DEBUG WebBrowser – <html>
Obviamente, modifiqué algunos datos cambiandolos por “X” para proteger la información del afectado.
Los datos en
negrita es lo que nos interesa, donde se divulga información sensible de las personas:
- RutTercero
- NomTercero
- NomOrigen
- MailOrigen
- NomBanco
- SaldoDisponible
- coord_1
- coord_2
- coord_3
- PWD
Hay una parte interesante que
probablemente corresponde a los datos de la coordenadas que nos hace falta:
Parte_1=F&Parte_2=2&Parte_3=F&Parte_4=3&Parte_5=C&Parte_6_2
Lo traducimos a
F2 = 28
F4 = 22
C2 = 95
Que corresponden a los datos solicitados por el banco para realizar la transferencia. Luego de hacer un seguimiento al log es posible ir obteniendo todos los datos de las coordenadas, hasta que obtengamos TODAS.
Información suficiente para suplantar la identidad de esa persona.
Luego de varios intentos, logré hacer llegar este fallo/bug/vulnerabilidad a la gerencia de informática o de tecnologia del banco, quienes recibieron la información y se pusieron a trabajar en el asunto.
Independiente de que si el banco soluciona el problema o no, tengo varias dudas al respecto:
- ¿Notificará el banco a los usuarios afectados para informarles que sus datos fueron expuestos?
- ¿Informará el banco a los afectados para que cambien su contraseña?
- ¿Se preocupará el banco de renovar las tarjeta de coordenadas a sus clientes?
- ¿Cuantos usuarios fueron los afectados?
- ¿Cuantas personas pudieron acceder a ese archivo log?
Yo pienso que el banco debería notificar a todos los afectados, ofrecerles un seguro anti-fraude de forma gratuita, ya que el banco fue quien expuso su información y además ofreceles algun tipo de indemnización.
¿Que dice la superindentencia de bancos frente a estos asuntos?
, a cuanto weon no lo han cagado con plata "robada"...
