CategoríaPrivacidad

Datos de clientes de Aguas Andinas expuestos por un tercero

Hace unos minutos me llegó un correo promocional de Aguas Andinas, invitandome a cambiarme a Boleta Electrónica.

 

unnamed

El correo fue enviado desde la cuenta “Aguas Andinas” <ventasti@mailpromo.cl>. Todo indica que Aguas Andinas le entregó la base de datos a esta empresa de spam mailing. El problema es que una vez mas los proveedores de este tipo de servicios no cumplen con las normas minimas de seguridad y violan la privacidad de los usuarios. En este caso, todo indica que Aguas Andinas no exige seguridad a sus clientes y le entrega la información de nosotros a cualquiera.

Seguir leyendo

El fallo de Entel que dejó vulnerables a sus clientes

entellogo

Desde hace algunos meses la empresa de telecomunicaciones Entel presenta un fallo de seguridad que afecta al portal web “Mi Entel”, utilizado por sus clientes para acceder a información de su cuenta, revisión del estado del plan de datos, llamadas realizadas, contratación de nuevos servicios, etc. Para ingresar a la sección de “cliente” es necesario ingresar el número de celular, RUT y la clave de cuatro dígitos, sin embargo, explotando esta vulnerabilidad es posible iniciar sesión solo con el número de celular.

Segun los antecedentes recopilados via twitter, este fallo ya está siendo explotado por atacantes robando puntos zona entel a las víctimas. En esta imagen compartida vía twitter se puede ver un usuario con mas de $300.000.- en saldo y con bolsas de navegación de 7GB

entelpoc

Seguir leyendo

EFT, Operador de transacciones bancarias expone comprobante de pago

online-bank

Según aparece en su propia página web, EFT es un proveedor especialista en tecnología de servicios transaccionales. Sus productos ofrecen integración de sistemas de pagos, recaudación de fondos y optimización de canales; para aumentar los ingresos, reducir costos e impulsar la rentabilidad. La tecnología utilizada está probada en entornos de crecimiento de alto volumen y proporciona los estándares de seguridad y soporte que demandan las grandes empresas.

Varios bancos utilizan este intermediario para realizar transacciones, junto a una leyenda de que “las transacciones realizadas mediante este sistema son seguras“.

Seguir leyendo

Cómo el Banco Santander (no) protege la información de sus clientes

Santander

En este nuevo capítulo de la seguridad del Banco Santander veremos la poca preocupación que tiene esta entidad bancaria por proteger la información de sus clientes. Si bien para poder llegar a esta información hay que tener la clave de 4 digitos, no deja de ser preocupante ya que puede ser utilizada para realizar fraudes.

La información que expone el banco corresponde al correo y al numero de celular del cliente. Una vez que el atacante ingresa al portal con el RUT y clave de 4 digitos, podría efectuar un ataque de ingenieria social via telefónica  o por correo electrónico con el afectado, solicitando antecedentes necesarios para cometer el fraude.

Seguir leyendo

Banco Estado expone cheques y comprobantes de depositos

banco-estado

No es primera vez que el Banco Estado cae en errores como estos, en el año 2012 publicó un log de transacciones que superaban los 5GB diarios. Durante la semana pasada detecté que muchos de los cheques depositados y los comprobantes de depositos podían ser vistos por cualquier persona, sin ningun mecanismo de autenticación ni control.
Los cheques correspondían a documentos escaneados, por ambos lados.

Seguir leyendo

Seguridad del sistema de Servicio de Impuestos Internos (SII): Algo anda mal …

En el post anterior ya vimos cómo el mismo sistema de servicios de impuestos internos (SII) violaba la seguridad de nuestras contraseñas; en este nuevo post comentaré las recomendaciones de seguridad que aparecen publicadas en el sitio web del SII y tambien analizaré el manual de configuracón para la utilización de ingreso mediante certificado digital o firma electrónica.

En este link, pueden ver las Recomendaciones de Seguridad, donde dan los siguientes consejos:

  • Nuestro Servicio sólo envía correos de carácter informativo, no se adjunta ningún link o documento que deba descargar.
  • El Servicio nunca solicitará respuesta a los correos electrónicos.
  • Nunca se solicitará datos personales, rut ni su clave secreta.
  • Si le solicitan este tipo de información puede estar siendo víctima de un fraude, provocado por un phishing, virus o troyano.
  • Escriba la dirección completa www.sii.cl en su navegador de internet y asegúrese de hacerlo en lugares conocidos.
  • Mantenga su computador actualizado con sus parches y antivirus al día para protegerlo de software malicioso.
  • Si su navegador (Firefox, Explorer, Chrome u otro) le ofrece “volver a recordar clave”, no lo acepte nunca.
  • No permita que otros vean su clave secreta.
  • No ocupe la misma clave del SII para otros sitios en Internet.

Seguir leyendo