El nuevo edificio más alto del mundo estará lis...
¿Qué ocurrirá con tus datos tras la muerte?
La guerra por la mensajería instantánea
Google ahora reconoce lo que sale en tus fotogr...
Kim Dotcom acusa a Google, Twitter y otros de v...
El problema de Windows y pantallas de alta reso...
Se activa el reconocimiento de voz en el buscad...
Creador del formato GIF gana un Webby a la tray...Chile: Vergonzosa falla de seguridad en el sitio de Santander (Actualizado)
Zerial es un experto en seguridad que mantiene un blog donde publica algunas de las fallas que encuentra por ahí en la red, de las que sin duda hay muchas. Donde uno no esperaría encontrar problemas de seguridad es en los bancos – un lugar al que le confiamos nada menos que nuestro dinero. Sin embargo, este es el caso del Banco Santander en Chile, que tiene expuesto su código fuente.
La vulnerabilidad corresponde al tipo “Local File Include + Directory Traversal = Source Code Disclosure”, que permitía acceder a archivos de código del banco. Revisando los datos, Zerial descubrió que el desarrollo del código fuente corresponde al año 2006 – hace casi seis años – lo que revelaría poca preocupación de parte del banco respecto a este tema. Además, esta vulnerabilidad está presente desde hace al menos un año, dice Zerial.
Con esto, “tienes acceso al core de la aplicación, puedes entender cómo funciona el sistema del banco de forma interna, cómo son los procesos de negocio, etc. Esto ayuda al atacante a conocer mejor a su víctima”, señala Zerial.
Una de las fallas más curiosas, sin embargo, apareció poco después y afecta al sistema de pagos automáticos de cuentas (PAC/PAT). Esta falla permite que alguien entre a tu cuenta y asigne pagos automáticos, sin confirmación ni autorización de la persona dueña de la cuenta. Un ataque así sólo haría que pagues tus cuentas, pero de todos modos es una intrusión a tu cuenta personal.
“En Santander hay muchas vulnerabilidades, ésta es sólo una de ellas. Existen varios Cross-Site Scripting (XSS) que afectan a distintas secciones del Santander. Este tipo de vulnerabilidades sí que afectan directamente a los clientes. Santander se caracteriza por tener muchos agujeros de seguridad en sus procesos de negocios (validaciones)”, opina Zerial.
La primera vulnerabilidad, que permitía el acceso al código fuente, incluso estaba indexada en Google. Sin embargo, este problema parece haberse solucionado en los últimos días. El asunto del PAC/PAT, sin embargo, seguiría operativo.
- ¿Cuál consideras que es el peor descuido de Santander en este caso?
El descuido de ellos es claramente que externalizan servicios como la seguridad y el desarrollo y confían plenamente en esas empresas. Y ante amenazas y advertencias, que simplemente no respondan. No son capaces de manejar y canalizar el incidente.
- ¿Qué puede hacer una persona para protegerse?
Nada, es tarea del banco. El usuario no tiene como protegerse.
El banco no ha emitido una respuesta oficial a este caso Pueden ver la respuesta del banco más abajo. Personas que contactaron a ejecutivos de cuenta por este problema recibieron respuestas que descartan que la vulnerabilidad exista. Por otro lado, Zerial fue contactado por TAISA, la empresa que desarrolla el sistema del banco, que admitió que los problemas son reales y que están trabajando para corregirlos. Al menos esta compañía reaccionó bien.
No hay que descartar que otros bancos se encuentren en situaciones similares (aquí algunos otros ejemplos), considerando que en este lado del mundo varios servicios bancarios y de pago de cuentas todavía dejan bastante que desear.
Actualización:
Banco Santander respondió a nuestras consultas al respecto. El gerente de Banca Electrónica, Laureano Cuesta, aseguró que “esta vulnerabilidad fue revisada por tres entidades independientes, y las tres concluyeron que estaba protegida ante intentos de inyección de código malicioso. De todas maneras, y para no generar innecesaria preocupación en nuestros clientes, se procedió a limitar el acceso al código de esa página”.
Respecto a que el código correspondiera a un desarrollo del año 2006, Cuesta afirmó que “Banco Santander tiene más de 350 transacciones implementadas en más de 5.000 páginas de códigos de fuente, y éstas se modifican de acuerdo a las necesidades de los clientes y a condiciones de seguridad. Esto implica que no es extraño encontrar páginas que tengan 5 años de antigüedad, frente a otras páginas que fueron implementadas hace menos de un mes. Eso es normal en el ciclo de vida de los grandes sitios transaccionales”.
Sobre los problemas en el sistema de pago automático de cuentas (PAC/PAT), “también se hizo una revisión completa por parte de tres entidades independientes. En base a esto podemos asegurar que actualmente esta transacción es segura”.
Cuesta insistió en que el sitio web es seguro y que está en permanente monitoreo y revisión. También afirmó que una empresa externa realiza “hackeo ético” todos los años para revisar posibles fallas. “Cada vez que se detecta un riesgo, ya sea por nuestros propios equipos, por clientes o por expertos independientes, se trabaja de inmediato en reparar dichas fallas”, afirmó.
Link: El rincón de Zerial
71 Comentarios
Chile: Vergonzosa falla de seguridad en el sitio de Santander (Actualizado)
Todos saben que Santander es el peor banco, el más caro, etc... Pero que ocurre, es el más abierto a todo tipo de personas, es más fácil obtener crédito, muchas sucursales (cajas especiales para clientes), más convenios, etc... Su éxito radica en eso, es más masivo y popular pero no es que sea el más conveniente en cuanto a intereses y cobros. Los más convenientes en ese sentido siempre son banco estado y banco chile. Ahora que me acuerdo Santander es el más caro, una vez los hermanos Parisi mostraron un estudio comparando tasas, y santander era una wea escandalosamente el más caro, el doble vs banco chile, el más conveniente, resultado, al día siguiente de el estudio Santander bajó las tasas.
ResponderHugo Acevedo: sbif.cl no seria malo hechar un vistazo.
ResponderQ no se entere Anonymous...;)
ResponderSantander MIENTE. Ojalá alguien de estas empresas haga la denuncia respectiva en la super.
ResponderEsto es verdad, por ser algo, busquen el samba del sitio.
Responder"esta vulnerabilidad fue revisada por tres entidades independientes" ... suena a los tres chiflados tratando de pasar por una puerta.
ResponderClaramente las respuestas no corresponden a las vulnerabilidades que todos saben que existieron... ahroa con respecto al PAC/PAT Santander es valiente al decir que "Actualmente" es seguro, eso porque lo parcharon el 29/30 de Diciembre donde ya no se podía realizar más... pero ojo en realidad Santander es aun más valiente en asumir esta vulnerabilidad ya que no era de ellos, sino que era de Patpass (Transbank) y por lo tanto afectaba a todos los Bancos... ahora vi unos comentarios y efectivamente AUN sigue vulnerable la consulta PAC del banco donde puedes ver otros clientes (no asignarles un PAC).
El banco Santander su lema seria "Si funciona, no lo toques".
Es muy, MUY chistoso que justamente uds Entrevisten a Zerial.
ResponderLas vueltas de la vida, no?
En mis tiempos de ser carente de ética también había encontrado varias vulnerabilidades en santander.cl, los Source Code Disclosure no eran explotables, no porque el código esté protegido, ya que no era posible conectarse remotamente a la base de datos MSSQL ni usarlo para inyectar código en lado servidor. Igualmente siguen habiendo múltiples XSS y CSRF.
Responderhttp://www.santander.cl/contenidos/cinformativo/comexnews/ediciones/marzo/reportaje.asp?de=foo%22%3E%3C/a%3E%3Cscript%3Ealert%28%22baz%22%29;%3C/script%3E
Algunos comentarios sin tecnisismo, a) se supone que tu confias que tus bienes
Respondersean protegidos y tù pagas moraleja... osea las ganancias se van.......
b) en el mercado es el mas caro......
c) las personas que utilizan pac .....doble problema con el banco y los servicios
d) Senor amparanos de estos ladrones...
Les contaré que me sucedio con Santander serfín en méxico es el peor Banco, me clonaron una tarjeta de la cual me sacaron como 500 dolares y fui al banco a reclamar, y le sdije que quería que me enseñaran los videos de lso cajeros donde se retiró el dinero total que me dijeron que no podian solo con una orden judicial, que hiciera mi queja por escrito, hice miq ueja por escrito y que no prospero, total me fui segui pagando mi tarjeta y un buen día me harté y ya no les pagué nada. Es pésima y nefasta la seguridad electronica de Santander,Y te la hacen cansada para regresarte tu dinero, que ne mic aso no lo hicieron, si tienen un caso así hayq ue ir a la CONDUSEF, y a poner una demanda en el Mp y tmb al banco, SON UNA MIERDA
ResponderDeja tu Comentario