Chile: BancoEstado expuso en internet un log con información de clientes sin cifrar

Chile: BancoEstado expuso en internet un log con información de clientes sin cifrar

Los datos y la contraseña de clientes que realizaron transferencias en los últimos días podrían estar potencialmente expuestos.

Un log de Banco Estado con información sobre las transferencias realizadas por clientes fue descubierto en internet, publicado sin cifrado y con información sensible de gran cantidad de clientes. Aunque el banco fue informado y el log ya no está disponible, gran cantidad de información de clientes estuvo expuesta, lo que puede poner en riesgo la seguridad de las cuentas de estos usuarios.

Entre los datos disponibles en el log aparecían el nombre de la persona que estaba realizando la transferencia, nombre del destinatario, e-mail del destinatario, cuenta de origen y destino, montos asociados a la cuenta, información de la tarjeta de coordenadas y la contraseña que utiliza el usuario para ingresar al portal.

“Todo esto debería estar cifrado, pero en este log aparecía todo en plano”, explica Fernando Lagos (Zerial), consultor de seguridad que reportó el problema al banco. El log estaba disponible en https://m.bancoestado.cl/log/log.txt. “Era muy obvia la dirección. Cualquier “escaneador” automático hubiese detectado ese log”, dijo a FayerWayer.

El log aparentemente rotaba diariamente, pero no se sabe durante cuántos días estuvo disponible, ni cuántos clientes pueden haberse visto expuestos si alguien estaba siguiendo la información presente allí. “Según mis cálculos y analizando el log, en un rango de 4-5 horas fueron 160 transacciones, es decir, 160 posibles usuarios afectados. Multiplícalo por la cantidad de horas del día, por la cantidad de días que estuvo expuesto ahí”, dice Zerial.

La recomendación es que si eres cliente de BancoEstado y realizaste transacciones últimamente, cambies la contraseña para internet y pidas una nueva tarjeta de coordenadas (ver actualización 2). Para más detalles sobre el log y los datos expuestos, puedes revisar el blog de Zerial.

Contactamos a BancoEstado para conocer su reacción a este tema, actualizaremos cuando haya respuesta.

Actualización:

BancoEstado envió el siguiente comunicado:

Durante el día de ayer se detectó una brecha de seguridad en el Portal Móvil que implicaba un eventual acceso a información parcial, para un número limitado de clientes. Esta información por sí sola no permite generar transacciones fraudulentas.

Dada esta situación el banco está realizando una mantención correctiva del sitio y se informará cuando se encuentre operativo.

Adicionalmente, BancoEstado está tomando contacto con los clientes involucrados a través de los canales formales.

Finalmente, BancoEstado reitera a sus clientes que existen recomendaciones de seguridad disponibles en www.bancoestado.cl, entre las cuales destacamos el cambio periódico de sus claves secretas.  

Actualización 2:

La filtración de los números de las tarjetas de coordenadas es menos grave de lo que se pensaba al principio. Más detalles aquí.

Links:
– BancoEstado expone los datos de las transacciones de todos sus clientes (El rincón de Zerial)
Cómo usar con seguridad un cajero automático (FayerWayer)