Lo mejor de Google I/O 2013 #IO13 
Yahoo! y Facebook enfrentadas para adquirir Tumblr
Bill Gates supera a Carlos Slim como el hombre ...
Larry Page y la polémica que despertó contra Mi...
El nuevo Google Maps a primera vista
Google Glass a primera vista
Todo lo que vimos en la primera jornada del eve...
Larry Page: "Estamos sólo en el 1% de lo que po...Chile: BancoEstado expuso en internet un log con información de clientes sin cifrar
Un log de Banco Estado con información sobre las transferencias realizadas por clientes fue descubierto en internet, publicado sin cifrado y con información sensible de gran cantidad de clientes. Aunque el banco fue informado y el log ya no está disponible, gran cantidad de información de clientes estuvo expuesta, lo que puede poner en riesgo la seguridad de las cuentas de estos usuarios.
Entre los datos disponibles en el log aparecían el nombre de la persona que estaba realizando la transferencia, nombre del destinatario, e-mail del destinatario, cuenta de origen y destino, montos asociados a la cuenta, información de la tarjeta de coordenadas y la contraseña que utiliza el usuario para ingresar al portal.
“Todo esto debería estar cifrado, pero en este log aparecía todo en plano”, explica Fernando Lagos (Zerial), consultor de seguridad que reportó el problema al banco. El log estaba disponible en https://m.bancoestado.cl/log/log.txt. “Era muy obvia la dirección. Cualquier “escaneador” automático hubiese detectado ese log”, dijo a FayerWayer.
El log aparentemente rotaba diariamente, pero no se sabe durante cuántos días estuvo disponible, ni cuántos clientes pueden haberse visto expuestos si alguien estaba siguiendo la información presente allí. “Según mis cálculos y analizando el log, en un rango de 4-5 horas fueron 160 transacciones, es decir, 160 posibles usuarios afectados. Multiplícalo por la cantidad de horas del día, por la cantidad de días que estuvo expuesto ahí”, dice Zerial.
La recomendación es que si eres cliente de BancoEstado y realizaste transacciones últimamente, cambies la contraseña para internet y pidas una nueva tarjeta de coordenadas (ver actualización 2). Para más detalles sobre el log y los datos expuestos, puedes revisar el blog de Zerial.
Contactamos a BancoEstado para conocer su reacción a este tema, actualizaremos cuando haya respuesta.
Actualización:
BancoEstado envió el siguiente comunicado:
Durante el día de ayer se detectó una brecha de seguridad en el Portal Móvil que implicaba un eventual acceso a información parcial, para un número limitado de clientes. Esta información por sí sola no permite generar transacciones fraudulentas.
Dada esta situación el banco está realizando una mantención correctiva del sitio y se informará cuando se encuentre operativo.
Adicionalmente, BancoEstado está tomando contacto con los clientes involucrados a través de los canales formales.
Finalmente, BancoEstado reitera a sus clientes que existen recomendaciones de seguridad disponibles en www.bancoestado.cl, entre las cuales destacamos el cambio periódico de sus claves secretas.
Actualización 2:
La filtración de los números de las tarjetas de coordenadas es menos grave de lo que se pensaba al principio. Más detalles aquí.
Links:
- BancoEstado expone los datos de las transacciones de todos sus clientes (El rincón de Zerial)
- Cómo usar con seguridad un cajero automático (FayerWayer)
46 Comentarios
Chile: BancoEstado expuso en internet un log con información de clientes sin cifrar
¿Cuanto le pagan las empresas a los administradores de plataforma/de redes/ Webmasters/diseñadores Web?
ResponderPoco. Comparado con el costo de los cagazos que resultan por ello.
la cantidad de dinero que ganan estos personajes son inversamente proporcional a la cantidad de cagazos que hay en el mes =D
viejo.. te aseguro que pagan una mierda.. yo administro una red bastante grande y mi sueldo vale casita de pitufo...
No se trata de cuanto te pagan, sino que habla de lo pencas de profesionales que trabajan ahi. Si cobras poco y aceptas trabajar por poco, no quiere decir que hagas las cosas mal.
Genius
Respondermansa cagaíta...
ResponderLa frase sobre el SSL es algo confusa, solo para aclarar, me refiero a que en el contexto de un "sniffer" o intercepcion de trafico, por ejemplo si alguien esta sniffeando en un cibercafe o en un instituto, el trafico viaja cifrado con SSL (a menos que haga mitm con un ssl falso y el usuario acepte el certificado falso). En este caso no tiene sentido que usen SSL si exponen todo el trafico en plano.
ResponderCagazo del banco, aunque reaccionaron bien y bajaron el log.
igual suena confuso que hablen de ssl como medio para proteger un archivo almacenado fisicamente, hasta donde se, ssl generalmente se utiliza para transmision de datos, no para resguardar "ficheros", y si, demasiado obvio el path de logs
@zerial : No creo que hayan reaccionado bien. El sacar el log (como mínimo) no los exculpa, si no más bien es reconocer el cagazo.
Si entro a la página de BEstado, no aparece ninguna info al respecto.
¿enviaron algún comunicado o mail a los usuarios con transacciones en los últimos días (o desde cuándo haya estado así?.
¿les informaron del hecho y les invitan a cambiar su clave?
Ya deben tener suficiente con la mala imagen que les dejó lo de los cajeros.
bueno al menos bajaron el archivo, cuando se postio un sqli en us, el bug quedo durante mas de 6 meses, y lo más wtf era que pasaban un sentencia sql por get.
saludos
SSL solo cifra la transmisión de datos, no el archivo en si.
ResponderNo confunda Webmaster (aka. cualquier persona que administre una web) con un desarrollador de aplicaciones web o un ingeniero. En este caso el log corresponde a un registro que deja la aplicacion web de las transacciones, y el problema está en los ingenieros o en quien está encargado en la arquitectura de la aplicacion. Super mal lo que ocurrio, y sobre todo porque, segun entiendo, no fue descubierto por una auditoria programada, ni realizada por alguien del banco. Me ofrezco de QA cuando quieran. Les aseguro que hare mejor trabajo que ese ajjajaa.
a los buenos pijamas de pikachu!! xD
sácate el pijama pikachu ql!!! xD
Me cuesta entender cómo empresas tan serias (bancos entre muchas) no cifran MÍNIMO las claves que utilizamos. ¿Tan complicado es? (sé que no lo es, es una pregunta retórica para acentuar lo ineptos que son algunos desarrolladores).
ResponderLos ineptos no son los desarrolladores, son los Ingenieros a cargo de levantar el requerimiento, el desarrollador es igual que un soldado, solo sigue ordenes al pie de la letra.
Si el ingeniero no da la orden de cifrar , como desarrollador no tienes porque hacerlo. Puedes protestar, hacerle ver de que se mando un condoro, etc.
Me ha tocado reportar errores por lo mismo y nunca me han hecho caso, una vez recuerdo que reporte el incidente, lo escale hasta un gerente y no paso nada, deje pasar como un año, sali de esa empresa, pero seguia como cliente de la "empresa afectada por el fallo", como cliente entre al area que alguna vez estuvo afectada, lo reporte, pero pubicamente y recien "se preocuparon"
@andres es el problema de vivir en una cultura reactiva :p en vez de prevenir los problemas, los parchamos cuando aparecen.
Estimados, estamos de acuerdo con la ubicacion del problema, la arquitectura de la aplicacion. Que pena y que rabia que los de "abajo" nos demos cuenta de donde está el problema y nos sigan dejando abajo. Muchos tenemos mejores cualidades y aptitudes que muchos jefes, pero seguimos estando donde estamos porque quizas no tenemos tanta pinta de jefe. De ahi que el dicho esta bien planteado, "el que sabe, sabe. Y el que no, es jefe".
Pifff.. no me soprende dentro de los que toman deciciones son los mas apitutados... 0 comprencion informatica los tipos..
pff... y a estos weones les pagan caleta por hacer sitios sin seguridad.
Responderla mansa cagada xD
y usted sabe acaso cuanto ganan???
No es problema de los desarrolladores, ni ""webmasters" ni similares. Esto es problema de planificación en el ambito de las pruebas y seguridad que debe tener una webapp. Yo creo que me cambiaré de banco, con esto no me inspira ninguna confianza.
ResponderComo dijo Nico
Responderel cifrado SSL es para la transmision es solo para la transmision de los datos
La transmision esta cifrada para que no pillen que los ladrones que están sacando las contraseñas (?).
Lamentablemente siguen ocurriendo estos problemas, ¿como es posible que a los clientes de este banco, no se haya enviado un correo indicando que por razones de seguridad se recomienda cambiar la clave y tarjeta de coordenadas?, soy cliente del banco y no veo en mi mail nada al respecto, solo basura ofreciendo créditos (para eso si nos consideran), me molesta enterarme por otras vías pese a que el banco ya tenia la información.
ResponderYa tenemos clara la postura del banco, "no es algo tan preocupante" y la culpa la tendrá quien detectó esto, como son de descarados capaz que lo demanden.....
ya esta caido ese enlace en si.
ResponderAl parecer lo estan arreglando, Rayos!
Bancos chilenos: cobran tremendas comisiones, tienen ganancias millonarias... pero no tienen un ápice de preocupación por la seguridad sus sistemas. ¿Y encima quieren que seamos nosotros quienes contratemos seguros para pagar por SUS errores?
ResponderRealmente hay que ser muy caradura.
y a quien chucha le importa apple y amazon weon....
@rick... por favor no hacer comparaciones con el objetivo de bajarle el perfil o el tamaño al error. Un banco maneja DINERO de los clientes, Amazon y Apple son solo proveedores de soluciones, productos, etc y por ende su seguridad esta orientada a la informacion de sus clientes. Un Banco debe tener su seguridad orientada a la informacion del cliente y a su capital(dinero) ya que con este ultimo el Banco "trabaja" para ganar esas millonarias utilidades.
Este pais esta lleno de caradura, Si no preguntale al accidentado Navarro :P
yo tengo seguro contra fraudes, pero viendo los reclamos, parece que ni pezcan eso. $3500 al mes a la basura
ResponderNO deberia existir ese seguro ya que ellos deben pagar por los fraudes que se generan por las fallas de seguridad que tienen en sus sistemas.
Cueck!!!
ResponderUn dia cambie la contraseña del banco y solo modifique los ultimos 2 digitos para no olvidarla, luego volvi a entrar con la antigua y me permitio, hice artas pruebas cambiando los ultimos digitos y siempre volvia a entrar con la antigua y con la nueva tambien, note que era un gran fallo de seguridad, llame al soporte internet y me dieron una respuesta super relajada, algo asi como:"trate de cambiarla completa no por parte asi resulta". El vacunazo pense que me iban a recompensar por el descubrimiento pero se hicieron los tontos. el que tenga BancoEstado Prube yo cerre mi cuenta mejor por seguridad.
ResponderxD llamaste a la mesa de ayuda de internet... es empresa externa que van a hacer ellos jajaja
" pense que me iban a recompensar por el descubrimiento pero se hicieron los tontos"...XD
Una real lata si al final que va a pasar el banco no va a pagar nada ni se hará responsable de nada, esto no sale a la luz nadie se da por enterado como para cobrar una multa al banco, la SVS ni sabe de estas fallas una lata sentir que cuando el banco le hace algo a un cliente es una talla pero cuando el cliente le hace algo al banco es una falta de respeto.
ResponderWTF esta frase del comunicado "Finalmente, BancoEstado reitera a sus clientes que existen recomendaciones de seguridad disponibles en www.bancoestado.cl, entre las cuales destacamos el cambio periódico de sus claves secretas. "
ResponderSi el problema de seguridad es de ellos, en este caso dio lo mismo los resguardos de los clientes, lo único seguro que se podía hacer en este caso por parte de un cuenta correntista o ahorrante era sacar la plata del banco y guardarla bajo el colchón por como están las cosas.
Por último podrían haber remplazado ese párrafo por un lo sentimos no se volverá a repetir.
Creo que el problema es el mismo de siempre: el banco licita la creación del Sitio web móvil a la empresa que cobre menos. Por ende esta última hace la pega pero como tiene que abaratar sus costos lo hace sin completar el ciclo de creación de una aplicación.
ResponderAlgo similar a lo del Banco de Chile y el condoro de las cartolas, externalizaron el servicio (porque se ahorran lukas) y seis meses después ocurre lo que nunca les había sucedido antes.
En general la banca chilena se encuentra bastante atrasada en materia de seguridad. Ni hablar del monopolio de Redbanc y Transbank.
Slds
Totalmente de acuerdo, la tercerizacion esta mandando al demonio la seguridad de los sitios, Apple nunca le entregaría el diseño o la ingeniería de sus productos al mejor postor.
Shus el manso pato.. a cambiar la clave..
ResponderAlguien tiene el Log por ahi??..
..solo para saber si aparezco y solicitar otra clave de transferencia ;)
super caradura lo del cambio de claves. O sea finalmente ...
ResponderDeja tu Comentario