CategoríaSeguridad

Temas relacionados con seguridad informatica.

Nueva Vulnerabilidad Cross-Site Scripting (XSS) en Banco Santander

santander-chile-650x400

Desde hace un tiempo que Banco Santander ha expuesto a sus clientes y usuarios a una serie de incidentes de seguridad, como por ejemplo solicitud de claves por parte de los ejecutivos hacia nuevos clientes, vulnerabilidades que permitieron el acceso a parte del código fuente, fallas de seguridad que facilitaban el phishing, etc. Varias de estas vulnerabilidades fueron expuestas en este blog, luego que no se tuviera respuesta por parte del banco, como se puede ver en esta lista de posts.

Actualmente, en el año 2015, Santander demuestra que no ha aprendido nada, desde el punto de vista de la gestión como en el ámbito técnico. Continuan ignorando las alertas de seguridad que se denuncian y por otro lado continuan entregando un servicio que no cumple con un mínimo de seguridad.

Las vulnerabilidades se repiten año tras año, por ejemplo en este caso mostraré un Cross-Site Scripting (XSS) que afecta a la Banca Personas, un problema de seguridad que es facil de detectar, facil de mitigar y facil de explotar.

Seguir leyendo

Chile: Ataques informaticos a centros de salud

uhh

Hace un par de semanas escribí criticando la preocupación que existe por parte de los centros de salud en chile respecto a temas de seguridad informatica (algunos le dirian seguridad cibernetica). Luego de esa publicación, dejé pasar un tiempo para recorrer distintos sitios web relacionados con salud que han sido intervenidos y al parecer ni si quiera se han dado cuenta.

Un recorrido rapido por algunos sitios, muestra rapidamente una lista de sitios o sistemas de salud intervenidos por terceros, de gobierno, clínicos, independientes, etc.
Más allá del problema mismo de la intervención del sitio, la pregunta es ¿a qué información logró acceder el atacante? o ¿cual fue el impacto del atacante? Si pudo ingresar a un servidor perfectamente pudo haber saltado a otro.

Seguir leyendo

Como NO se debe mitigar un Cross-Site Scripting (XSS), el ejemplo de ChileAtiende

logo_chileatiende_beta_2xDe acuerdo a su propia descripción, ChileAtiende es una red que busca acercar los servicios del Estado a las personas, entregando un conjunto de trámites de diferentes instituciones públicas, en un solo lugar.

Revisando rapidamente el sitio web, se puede ver que intentaron aplicar algunos controles de seguridad para prevenir ataques, sin embargo, se pueden evadir facilmente. Como ejemplo voy a tomar una inofensiva vulnerabilidad que afecta al buscador del sitio, alojado en buscador.chileatiende.cl.

Seguir leyendo

Vulnerabilidad en Sky Airline permite acceso a Tarjetas de Embarque

Sky_Airline_Logo(Large)

Una falla en el sistema web de Sky Airline permite acceder a una configuración interna del sistema, mediante la cual es posible acceder a información historica y actual de las tarjetas de embarque de los pasajeros. Esta falla expone los datos de vuelo de todos los pasajeros, violando la privacidad e incumpliendo uno de los principios básicos de la seguridad de la información: confidencialidad.

El error se produce por una mala practica muy común al momento de poner en producción un servidor o un sistema, sobre todo en las plataformas .NET y Java.

Seguir leyendo

Banco Santander solicita claves personales para acceder a información del S.I.I

santander-chile-650x400

Cuando nos acercamos al mesón de atención al cliente o bien a una caja, siempre nos damos cuenta que las personas que nos atienden son descuidadas y dejan información a vista de todos, podemos decir que las personas simplemente no piensan en la seguridad de la información o simplemente que fue un descuido, pero una cosa totalmente distinta es recibir un correo de un ejecutivo solicitando una clave personal de otra institución para poder “sacar unos informes“.

ladronEsto no es una historia personal, todo comenzo cuando un amigo me contó su experiencia para obtener un crédito hipotecario, típico que te piden antecedentes comerciales, cotizaciones, boletas de honorarios, entre otros. Despues de un rato me dice con cara de tortuga sorprendido “Weon, el ejecutivo me pidio la clave del Servicio de Impuestos Internos para él ingresar a sacar mi información, ni cagando se la voy a dar” obviamente mi reacción fue un WTF y le pedí más antecedentes para poder escribirlo y publicarlo.

Seguir leyendo

Chile: ¿Están preparados los centros de salud para un ataque informático?

Hace unos dias se dio a conocer una noticia que afectaba a un centro de salud dental y a sus clientes (pacientes). Se trataba de un ataque informático que permitió el robo de información de 151.626 personas mediante un malware instalado en uno de las estaciones de trabajo permitiendo al atacante acceder a la base de datos interna donde se almacenaba la información de los clientes..
El Compliance Manager de la clínica se jacta de haber actuado rapidamente, ya que en otros casos los atacantes podrían estar meses y meses navegando por los datos. Entonces, yo me pregunto.. Los centros de salud chilenos ¿Estan preparados para este tipo de amenazas?

Seguir leyendo