Buscar""banco santander""

Vulnerabilidad en banca de personas del Banco Santander

Luego de intentar comunicarme por varias formas con algun encargado del sitio o algun responsable, y obteniendo respuestas negativas o en algunos casos sin respuestas, haré publica la vulnerabilidad que afecta al sistema de Banca de Personas del Banco Santander, fallo que tambien podría afectar a la Banca Empresas.

Quizá no es una vulnerabilidad tan critica ni tampoco significa el fin del mundo, pero creo que alguien con los suficientes conocimientos podría aprovecharse y explotarla. Coresponde a una típica y tonta vulnerabilidad XSS que permite, para variar, inyección de código javascript que nos permitirá el robo de credenciales o bien redireccionar la información del usuario a algun sitio maligno, usando la confianza del servidor seguro de Santander.

El bug se encuentra en el script ASP que muestra los errores del sitio

https://www.santander.cl/transa/errores/PagError.asp?titerror=0&codigo=Visualizaci%F3n%20de%20Imagenes&url=&msgerror=

Esta vulnerabilidad se limita a que el usuario debe tener iniciada la sesión.

Prueba de concepto (PoC)

La URL para explotar esta vulnerabilidad es la siguiente:

https://www.santander.cl/transa/errores/PagError.asp?titerror=0&codigo=Visualizaci%F3n%20de%20Imagenes&url=&msgerror=%3Cb%3EaaaLamentablemente%20la%20imagen%20del%20documento%20que%20eligi%F3%20no%20se%20encuen%3Cscript%3Ealert%28document.cookie%29%3C/script%3Etra%20en%20nuestras%20bases%20de%20datos%3Cbr%3E%3Cbr%3EAgradecemos%20su%20comprensi%F3n.%3C!--%20Ver%20Boleta%20ERROR%20DEFINIDO:%20[10:No%20se%20Encontraron%20registros%20para%20la%20b%FAsqueda%20realizada]--%3E&boton=CL&tema=Obtenci%F3n%20de%20Imagen

Phishing a Banco Santander

A muchas personas, en su mayoría clientes del banco santander, les está llegando hace un tiempo correos con mensajes un tanto creibles y que, para una persona que no está bien preparada para enfrentar este tipo de engaños, podría transformarse en un problema. Los sitios de los bancos generalmente presentan inestabilidades que muchas veces ni las notamos, demora mas de la cuenta en cargar, aveces nos bota la sesion o simplemente el servicio no responde. Aludiendo a ésto, el mensaje de phishing nos envían empieza así:

Es muy importante a leer.
Puede ser que Usted haya notado que la semana pasada nuestro sitio www.gruposantander.cl funcionaba inestable y se observaban frecuentes intermitencias.
Hemos renovado nuestras instalaciones bancarias y ahora el problema está resuelto.

Seguir leyendo

Publicación en LinkedIn permite el acceso a la Banca Online de su jefa

Como dice el título, una publicación en LinkedIn, que parecía ser tan inocente, terminó exponiendo las credenciales de acceso a la Banca Online de su jefa. Si bien todo suena muy confuso, es más simple de lo que creen. Todos conocen la historia de los famosos “papelitos” pegados en las pantallas, paredes o notebook y que por algún motivo se filtran en televisión o en redes sociales. Muchas veces pasa de “inocentes” pero siempre hay alguien atento a los descuidos.

Seguir leyendo

Análisis a las vulnerabilidades publicadas de Banco Estado

banco-estado

Joshua Provoste publicó en su blog una lista de vulnerabilidades que afectan a Banco Estado, catalogandolo como el banco menos seguro de Chile.
Cuando empece a leer el artículo y analizar mentalmente las vulnerabilidades, se me vinieron varias cosas a la cabeza (cosas buenas y cosas malas), tambien me trajo varios recuerdos… Por ejemplo, me acordé de los episodios en que Banco Estado publicó un log con las transacciones o cuando permitia el acceso por cualquier persona a los comprobantes de depositos y cheques, y para que hablar de la decenas de vulnerabilidades Cross-Site Scripting que se han reportado. Ante todas estas incidencias, Banco Estado ha reaccionado oportunamente y corregido las fallas de seguridad, por lo menos en mi experiencia siempre he tenido respuesta por parte del Banco cuando reporto algo, sea cierto o no.

Seguir leyendo

El Phishing y el Banco BBVA Chile

El banco BBVA Chile no se queda atras en sus vulnerabilidades y buscando donde poder reportarlas no he encontrado nada, solo teléfonos donde piden demasiada información personal. No hay ningun formulario ni correo electrónico, por lo que nuevamente se acude a la tecnica de la publicación.

Al igual que lo comentado en el post de El Phishing y el Banco Santander Chile, la idea es dar a conocer como los bancos se lavan las manos con sus campañas anti phishing y anti fraudes, pero no son capaces de ofrecer una plataforma lo suficientemente robusta. Nuevamente este tipo de vulnerabilidades afectan a los usuarios y no al banco directamente, permitiendo el robo de credenciales e información personal, suplantación de identidad, etc.

La vulnerabilidad Cross-Site Scripting detectada se encuentra en la página principal del banco https://www.bbva.cl y corresponde al buscador. El tipoco error de no parsear los parametros de entrada que se pasan por el forumlario o por URL (GET/POST).

La vulnerabilidad no ha sido reportada al banco ya que no se ha encontrado ningun método de contacto, pero se ha publicado en Secureless junto al mismo tipo de vulnerabilidad correspondiente al BBVA de Colombia.

Seguir leyendo

Siguientes entradas »