Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Cómo el Banco Santander (no) protege la información de sus clientes " es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
En este nuevo capítulo de la seguridad del Banco Santander veremos la poca preocupación que tiene esta entidad bancaria por proteger la información de sus clientes. Si bien para poder llegar a esta información hay que tener la clave de 4 digitos, no deja de ser preocupante ya que puede ser utilizada para realizar fraudes.
La información que expone el banco corresponde al correo y al numero de celular del cliente. Una vez que el atacante ingresa al portal con el RUT y clave de 4 digitos, podría efectuar un ataque de ingenieria social via telefónica o por correo electrónico con el afectado, solicitando antecedentes necesarios para cometer el fraude.
Es un error muy estúpido, que probablemente los que desarrollaron esta funcionalidad no le dieron ni la menor importancia.
Al ingresar al portal del Banco Santander Chile, nos despliega una opción de “Actualizar Datos”, mediante la cual podemos modificar nuestra dirección, número de teléfono, correo personal, etc. Como medida de seguridad y de protección, el sistema nos despliega el numero de celular y el correo censurado con “asteriscos”
Sin embargo, si vemos el código fuente podemos ver como aparece toda esa información sin los asteriscos correspondientes.
Por un lado nos muestra la información “escondida”, remplazando algunos caracteres por “*”, y por debajo nos muestra la información en texto plano. ¿Qué sentido tiene?
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Cómo el Banco Santander (no) protege la información de sus clientes " es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
marzo 4, 2014 a las 11:26 am
Tienes razón, es un error muy estúpido.
marzo 4, 2014 a las 12:11 pm
No se como escribirlo sin que suene sarcamos, de verdad: ¿como sería una buena manera de mejorar eso?.¿codificarlo (md5,hash)?, sessiones?, cookies?. Saludos
marzo 4, 2014 a las 2:37 pm
Creo que el problema ya se encuentra corregido, o al menos eso intentaron, ya que ahora para actualizar los datos se deben ingresar las coordenadas solicitadas de la tarjeta de superclave.
marzo 4, 2014 a las 4:40 pm
nodoc: Lo ideal seria hacer un select a la base de datos y cambiar los caracteres on-the-fly, sin mostrarlos nunca. El problema es que aca lo muestran son * pero luego lo agregan como campo hiden en plano. Ese campo hiden en plano perfectamente podria ser un “id” que haga referencia a ese registro en la db
marzo 4, 2014 a las 4:40 pm
Yacuza:
Escondieron el problema
marzo 4, 2014 a las 10:54 pm
Pero para entrar a modificar datos necesitas la super clave, igual super rebuscada la falla xDDD
marzo 6, 2014 a las 6:00 pm
Gracias Zerial,ayuda tu respuesta. Muchas gracias de nuevo.