Buscar"banco santander"

Vulnerabilidad en banca de personas del Banco Santander

Luego de intentar comunicarme por varias formas con algun encargado del sitio o algun responsable, y obteniendo respuestas negativas o en algunos casos sin respuestas, haré publica la vulnerabilidad que afecta al sistema de Banca de Personas del Banco Santander, fallo que tambien podría afectar a la Banca Empresas.

Quizá no es una vulnerabilidad tan critica ni tampoco significa el fin del mundo, pero creo que alguien con los suficientes conocimientos podría aprovecharse y explotarla. Coresponde a una típica y tonta vulnerabilidad XSS que permite, para variar, inyección de código javascript que nos permitirá el robo de credenciales o bien redireccionar la información del usuario a algun sitio maligno, usando la confianza del servidor seguro de Santander.

El bug se encuentra en el script ASP que muestra los errores del sitio

https://www.santander.cl/transa/errores/PagError.asp?titerror=0&codigo=Visualizaci%F3n%20de%20Imagenes&url=&msgerror=

Esta vulnerabilidad se limita a que el usuario debe tener iniciada la sesión.

Prueba de concepto (PoC)

La URL para explotar esta vulnerabilidad es la siguiente:

https://www.santander.cl/transa/errores/PagError.asp?titerror=0&codigo=Visualizaci%F3n%20de%20Imagenes&url=&msgerror=%3Cb%3EaaaLamentablemente%20la%20imagen%20del%20documento%20que%20eligi%F3%20no%20se%20encuen%3Cscript%3Ealert%28document.cookie%29%3C/script%3Etra%20en%20nuestras%20bases%20de%20datos%3Cbr%3E%3Cbr%3EAgradecemos%20su%20comprensi%F3n.%3C!--%20Ver%20Boleta%20ERROR%20DEFINIDO:%20[10:No%20se%20Encontraron%20registros%20para%20la%20b%FAsqueda%20realizada]--%3E&boton=CL&tema=Obtenci%F3n%20de%20Imagen

Phishing a Banco Santander

A muchas personas, en su mayoría clientes del banco santander, les está llegando hace un tiempo correos con mensajes un tanto creibles y que, para una persona que no está bien preparada para enfrentar este tipo de engaños, podría transformarse en un problema. Los sitios de los bancos generalmente presentan inestabilidades que muchas veces ni las notamos, demora mas de la cuenta en cargar, aveces nos bota la sesion o simplemente el servicio no responde. Aludiendo a ésto, el mensaje de phishing nos envían empieza así:

Es muy importante a leer.
Puede ser que Usted haya notado que la semana pasada nuestro sitio www.gruposantander.cl funcionaba inestable y se observaban frecuentes intermitencias.
Hemos renovado nuestras instalaciones bancarias y ahora el problema está resuelto.

Seguir leyendo

Análisis a las vulnerabilidades publicadas de Banco Estado

banco-estado

Joshua Provoste publicó en su blog una lista de vulnerabilidades que afectan a Banco Estado, catalogandolo como el banco menos seguro de Chile.
Cuando empece a leer el artículo y analizar mentalmente las vulnerabilidades, se me vinieron varias cosas a la cabeza (cosas buenas y cosas malas), tambien me trajo varios recuerdos… Por ejemplo, me acordé de los episodios en que Banco Estado publicó un log con las transacciones o cuando permitia el acceso por cualquier persona a los comprobantes de depositos y cheques, y para que hablar de la decenas de vulnerabilidades Cross-Site Scripting que se han reportado. Ante todas estas incidencias, Banco Estado ha reaccionado oportunamente y corregido las fallas de seguridad, por lo menos en mi experiencia siempre he tenido respuesta por parte del Banco cuando reporto algo, sea cierto o no.

Seguir leyendo

Vulnerabilidad en las cuentas PAC/PAT y reacciones del Santander

Despues del ultimo post relacionado con la vulnerabilidad que permitia acceder al código fuente del sistema, hubo distintos tipos de reacciones por parte de los usuarios y de las empresas involucradas.

Otras vulnerabilidades comenzaron a ver la luz, como por ejemplo la que afecta al sistema de asignación/modificación de los pagos automaticos de cuentas (pat/pac), que permite asignar pagos automaticos a terceras personas, sin previa confirmación. De esta forma, Juanito Perez, puede asignar el pago automatico de la cuenta de luz, agua, movil u otro a Pedrito, sin su autorización.

Varias personas se contactaron conmigo y me comentaban que habian enviado un reclamo a su ejecutivo de cuentas, para tener una respuesta formal y seria respecto a estas vulnerabilidades reportadas. Una de ella me llamo la atención, corresponde a @Van_ultraviolet, que le respondieron:

  • Es una persona que necesita mucha atención, por eso hace esto.
  • Cualquier persona puede acceder al código fuente.
  • Revisamos las alertas del pseudo-hacker y no son reales.

Pueden ver a respuesta completa aca: https://twitter.theinfo.org/152376559511142400

Considero que esto es impresentable y que la persona que entregó esa respuesta debería pensar seriamente en dejar de ejercer su profesión.

Por otro lado, una de las empresas responsables se contactó conmigo y hemos creado un canal de comunicación para el reporte de vulnerabilidades. Ellos admitieron el fallo del Source Code Disclosure y tambien la vulnerabilidad PAT/PAC, indicando que ya está corregida en su entorno de desarrollo, sólo falta ponerla en producción.

El banco no ha respondido publicamente sobre el asunto, el “canal web” y el llamado “Community Manager” que maneja la cuenta de Twitter (@SantanderChile), tampoco se pronuncia al respecto, apesar de las insistentes quejas y reclamos de sus clientes.

Como conclusión, hay 3 empresas involucradas:

  1. Santander: La entidad afectada, el Banco.
  2. TAISA Chile: Una de las empresas involucrada en el desarrollo del sistema.
  3. NEOSECURE: Segun los comentarios del post anterior y segun la información que me llegaba por correo, twitter, etc, es la empresa que ve la “seguridad” del Banco, es decir, es la “empresa lider en seguridad informatica” que audita periodicamente los sistemas del santander, según ellos; Aviso de seguridad Santander.

De estas tres empresas involucradas, la uinca que se ha hecho responsable y ha dado la cara, es TAISA, quien ha reaccionado bastante bien, agradecida y con ganas de crear un canal de comunicación para este tipo de incidentes. Ademas, han reaccionado bastante rapido despues de que se hizo la publicación.

Ustedes juzguen.

El Phishing y el Banco BBVA Chile

El banco BBVA Chile no se queda atras en sus vulnerabilidades y buscando donde poder reportarlas no he encontrado nada, solo teléfonos donde piden demasiada información personal. No hay ningun formulario ni correo electrónico, por lo que nuevamente se acude a la tecnica de la publicación.

Al igual que lo comentado en el post de El Phishing y el Banco Santander Chile, la idea es dar a conocer como los bancos se lavan las manos con sus campañas anti phishing y anti fraudes, pero no son capaces de ofrecer una plataforma lo suficientemente robusta. Nuevamente este tipo de vulnerabilidades afectan a los usuarios y no al banco directamente, permitiendo el robo de credenciales e información personal, suplantación de identidad, etc.

La vulnerabilidad Cross-Site Scripting detectada se encuentra en la página principal del banco https://www.bbva.cl y corresponde al buscador. El tipoco error de no parsear los parametros de entrada que se pasan por el forumlario o por URL (GET/POST).

La vulnerabilidad no ha sido reportada al banco ya que no se ha encontrado ningun método de contacto, pero se ha publicado en Secureless junto al mismo tipo de vulnerabilidad correspondiente al BBVA de Colombia.

Seguir leyendo

Publicación en LinkedIn permite el acceso a la Banca Online de su jefa

Como dice el título, una publicación en LinkedIn, que parecía ser tan inocente, terminó exponiendo las credenciales de acceso a la Banca Online de su jefa. Si bien todo suena muy confuso, es más simple de lo que creen. Todos conocen la historia de los famosos “papelitos” pegados en las pantallas, paredes o notebook y que por algún motivo se filtran en televisión o en redes sociales. Muchas veces pasa de “inocentes” pero siempre hay alguien atento a los descuidos.

Seguir leyendo

Siguientes entradas »