El próximo 9 y 10 de Octubre se celebrará en Kernelhouse el hackmeeting correspondiente al año 2010. Habrán charlas, talleres y debates relacionadas con la seguridad informática y libertades.
CategoríaSeguridad
Temas relacionados con seguridad informatica.
Luego de intentar comunicarme por varias formas con algun encargado del sitio o algun responsable, y obteniendo respuestas negativas o en algunos casos sin respuestas, haré publica la vulnerabilidad que afecta al sistema de Banca de Personas del Banco Santander, fallo que tambien podría afectar a la Banca Empresas.
Quizá no es una vulnerabilidad tan critica ni tampoco significa el fin del mundo, pero creo que alguien con los suficientes conocimientos podría aprovecharse y explotarla. Coresponde a una típica y tonta vulnerabilidad XSS que permite, para variar, inyección de código javascript que nos permitirá el robo de credenciales o bien redireccionar la información del usuario a algun sitio maligno, usando la confianza del servidor seguro de Santander.
El bug se encuentra en el script ASP que muestra los errores del sitio
https://www.santander.cl/transa/errores/PagError.asp?titerror=0&codigo=Visualizaci%F3n%20de%20Imagenes&url=&msgerror=
Esta vulnerabilidad se limita a que el usuario debe tener iniciada la sesión.
Prueba de concepto (PoC)
La URL para explotar esta vulnerabilidad es la siguiente:
https://www.santander.cl/transa/errores/PagError.asp?titerror=0&codigo=Visualizaci%F3n%20de%20Imagenes&url=&msgerror=%3Cb%3EaaaLamentablemente%20la%20imagen%20del%20documento%20que%20eligi%F3%20no%20se%20encuen%3Cscript%3Ealert%28document.cookie%29%3C/script%3Etra%20en%20nuestras%20bases%20de%20datos%3Cbr%3E%3Cbr%3EAgradecemos%20su%20comprensi%F3n.%3C!--%20Ver%20Boleta%20ERROR%20DEFINIDO:%20[10:No%20se%20Encontraron%20registros%20para%20la%20b%FAsqueda%20realizada]--%3E&boton=CL&tema=Obtenci%F3n%20de%20Imagen
Especificamente, la Municipalidad de la Granja poco se preocupa de la privacidad y de datos personales de la gente. En este caso que les mostraré, aparecerá información personal de varias personas, quizá no es algo tan critico ya que no se revelan datos tales como contraseñas, direccion, etc, pero si nombres de personas asociados a otros tipos de datos personales que no deberían estar dando vueltas por internet a la vista de todos.
Esta municipalidad convocó a postular a una beca y posteriormente publicó los datos personales de todos los que la ganaron.
Esta es la URL con la que podemos acceder al PDF donde aparece la lista de seleccionados:
Cada vez es menos la preocupación de la protección de datos de las personas, así jamás podremos confiar en quien tiene algo de información de nosotros.
Así es, el Centro de Formación Técnica “Lota Arauco” expone en su sitio web los datos e información personal de más de 3 mil alumnos.
Este ejemplo solo nos demuestra que nadie sabe donde irá a parar nuestra información, nadie nos asegura que los datos entregados a un tercero serán perfectamente tratados y que nadie más podrá acceder a ellos.
Los datos que podemos ver son el rut de la persona, fecha de nacimiento, nombre completo, dirección, celular, nombre del “apoderado”, numero de telefono del apoderado, rut del apoderado, dirección del apoderado, entre otros.
Esto es un atentado contra la privacidad de las personas.
EDITADO (26 de Agosto):
El archivo que contenia la informacion personal de todos los alumnos, y ademas informacion de todos los estudios y carreras, tanto como horarios, horas asistidas, etc correspondia a un “dump” de una base de datos ubicado en:
https://cftlotarauco.cl/cas/devel/database/old_migracion/registro_data_dump_explotacion.sql
El cual ya ha sido removido.
Yo no accedí a ningun sistema de información, simplemente a una URL publica, sin ningún tipo de restricción ni protección.
Me contactó el responsable actual del sitio web y me explicó que estos registros pertenecian a una base de datos antigua (hace un par de años) explicado la negligencia que cometió el encargado anterior y comentarme que lo había solucionado. Tambien me contó que una persona había intentado lucrar con la información de mi blog y que gracias a ello se dió cuenta que había información sensible expuesta en el sitio web.
Me parece increible que exista gente que quiera lucrar con el trabajo de otros, este personaje, quien buscaba el lucro mediante mi post, se llama Joan Calderon y su correo electrónico es joan.calderon@quanti.cc
Así es, pareciera ser que los errores de programación (bug) que dejan expuestos a los usuarios mediante vulnerabilidades Cross-Site Scripting (XSS) estan de moda, es increible ver la cantidad de sistemas de todo tipo que tienen este tipo de vulnerabilidad. Desde un simple sitio web de noticias hasta un sistema bancario. La unica explicación que puedo encontrar es que al tratarse de una vulnerabilidad que afecta a los usuarios y no a las empresas, le bajan el perfil y no se preocupan en corregirla cuando son reportadas. Que sepan tu contraseña, que cambien tu información, que sepan información privada tuya o que puedan acceder a tu cuenta sin tu permisos solamente te afecta a ti, el dueño del sitio se puede lavar las manos.
La mayoría de los XSS se producen en buscadores y en mensajes de error.
Parece que fuese una moda de las tiendas de computación el ser vulnerable a XSS. Conocimos el caso de WEI y de SYM, ahora es el turno de PCFactory.
Cuando descubrí el bug tenian una versión más antigua del sitio web, sin embargo, luego que la actualizaran a la version actual, me di cuenta que la misma url seguia funcionando con el mismo bug, es decir, sólo fue un cambio en el estilo visual del sitio web, no fue ninguna mejora en cuanto a lógica y código.
Para variar, el bug se encuentra en el buscador, donde nos da la autoridad para inyectar código html y código javascript para ser ejecutado en el navegador del cliente:
© 2024 El rincón de Zerial
Tema por Anders Norén — Subir ↑
Comentarios recientes