piemti
Huevon sin Vida
- Registrado
- 2004/08/20
- Mensajes
- 28.754
- Sexo
- MOH
Tintolio (asesor computacional de l pato chanta) informa que ya trabaja en el desarrollo de una version nueva
http://www.eldinamo....e-sus-clientes/
http://blog.zerial.org/
Un log de Banco Estado con información sobre las transferencias realizadas por clientes fue descubierto en internet, publicado sin cifrado y con información sensible de gran cantidad de clientes. Aunque el banco fue informado y el log ya no está disponible, gran cantidad de información de clientes estuvo expuesta, lo que puede poner en riesgo la seguridad de las cuentas de estos usuarios.
Entre los datos disponibles en el log aparecían el nombre de la persona que estaba realizando la transferencia, nombre del destinatario, e-mail del destinatario, cuenta de origen y destino, montos asociados a la cuenta, información de la tarjeta de coordenadas y la contraseña que utiliza el usuario para ingresar al portal.
“Todo esto debería estar cifrado, pero en este log aparecía todo en plano”, explica Fernando Lagos (Zerial), consultor de seguridad que reportó el problema al banco. El log estaba disponible en https://m.bancoestado.cl/log/log.txt. “Era muy obvia la dirección. Cualquier “escaneador” automático hubiese detectado ese log”, dijo a FayerWayer.
El log aparentemente rotaba diariamente, pero no se sabe durante cuántos días estuvo disponible, ni cuántos clientes pueden haberse visto expuestos si alguien estaba siguiendo la información presente
allí. “Según mis cálculos y analizando el log, en un rango de 4-5 horas fueron 160 transacciones, es decir, 160 posibles usuarios afectados. Multiplícalo por la cantidad de horas del día, por la cantidad de días que estuvo expuesto ahí”, dice Zerial.
http://www.eldinamo....e-sus-clientes/
La vulnerabilidad afecta a todos quienes hayan realizado algun tipo de transacción en el portal, al parecer corresponde a un log que va rotando diariamente, por lo que solo se podía acceder a la información del día.
Especificamente, la dirección donde se alojaban estos archivos corresponde a https://m.bancoestado.cl/log/log.txt, una URL facil de adivinar. Sin protección.
Dentro del archivo aparecían líneas como por ejemplo
[13] DEBUG Transferencias_Paso3 – TxtCoord1 [78]
[13] DEBUG Transferencias_Paso3 – TxtCoord2 [17]
[13] DEBUG Transferencias_Paso3 – TxtCoord3 [64]
Que corresponden a los tres numeros de la tarjeta de coordenadas que el banco solicita al usuario: 78, 17 y 64. Si bien no es posible obtener a que numero de coordenadas corresponden (por ej: B1, C5, H3), es información sensible que podría ser utilizada por un atacante.
Luego de eso, aparecian otras lineas que contienen información como:
Obviamente, modifiqué algunos datos cambiandolos por “X” para proteger la información del afectado.
08-07 00:02:36 [14] DEBUG BankingService – POST FINAL [controlBack=1&NumClick=1&FuncionalidadPlantillas=SI&ProdDestino=Cuenta Corriente&[b]RutTercero=5.XXX.XXX-1[/b]&NomTercero=GRXXXXX OLIVARES&NomOrigen=ROBERTO XXXXXX PONCE XXXXXXX &NomTrans=Transferencia a Terceros&CtaTercero=0000000050010001XXXX&MailTercero=&[email protected]&CodBancoTercero=504&NomBanco=BANCO BILBAO VIZCAYA ARGENTARI&txtCodBcoterc=CCT&SaldoDisponible=XXX.XXX&SaldoDisponibleLCR=0&SaldoDisponibleTOTAL=XXX.056&TipoAuth=GRID&Serie=XXXXXX&Parte_1=F&Parte_2=2&Parte_3=F&Parte_4=3&Parte_5=C&Parte_6=2&CuentaDestino=0000000050010001XXXX&txtUserName=ROBERTO XXXXXX PONCE XXXXXX&coord_1=27&coord_2=22&coord_3=95&PWD=LA_PASSWORD!&strIP=ip.interna.del.banco]
08-07 00:02:36 [14] DEBUG BankingService – URL FINAL [https://personas.ban...ssnid=399E8BD1]
08-07 00:02:36 [14] INFO WebBrowser – Invocando [https://personas.ban....cl/bancoestado
08-07 00:02:37 [56] INFO Global – breadcum: [161280380][https://m.bancoestad....aspx?smn=chee]
08-07 00:02:37 [56] DEBUG SessionWebAuthentication – False
08-07 00:02:37 [14] DEBUG WebResponse – Leerá HTML usando Charset: [ISO-8859-1] y Encoding: [System.Text.Latin1Encoding]
08-07 00:02:37 [14] DEBUG WebBrowser – <html>
Los datos en negrita es lo que nos interesa, donde se divulga información sensible de las personas:Hay una parte interesante que probablemente corresponde a los datos de la coordenadas que nos hace falta:
- RutTercero
- NomTercero
- NomOrigen
- MailOrigen
- NomBanco
- SaldoDisponible
- coord_1
- coord_2
- coord_3
- PWD
Parte_1=F&Parte_2=2&Parte_3=F&Parte_4=3&Parte_5=C&Parte_6_2
Lo traducimos a
F2 = 28
F4 = 22
C2 = 95
Que corresponden a los datos solicitados por el banco para realizar la transferencia. Luego de hacer un seguimiento al log es posible ir obteniendo todos los datos de las coordenadas, hasta que obtengamos TODAS.
Información suficiente para suplantar la identidad de esa persona.
Luego de varios intentos, logré hacer llegar este fallo/bug/vulnerabilidad a la gerencia de informática o de tecnologia del banco, quienes recibieron la información y se pusieron a trabajar en el asunto.
Independiente de que si el banco soluciona el problema o no, tengo varias dudas al respecto:Yo pienso que el banco debería notificar a todos los afectados, ofrecerles un seguro anti-fraude de forma gratuita, ya que el banco fue quien expuso su información y además ofreceles algun tipo de indemnización.
- ¿Notificará el banco a los usuarios afectados para informarles que sus datos fueron expuestos?
- ¿Informará el banco a los afectados para que cambien su contraseña?
- ¿Se preocupará el banco de renovar las tarjeta de coordenadas a sus clientes?
- ¿Cuantos usuarios fueron los afectados?
- ¿Cuantas personas pudieron acceder a ese archivo log?
¿Que dice la superindentencia de bancos frente a estos asuntos?
http://blog.zerial.org/