El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Mostrar menú Ocultar menú

Buscar"xss"

EFT, Operador de transacciones bancarias expone comprobante de pago

marzo 5, 2014 /

online-bank

Según aparece en su propia página web, EFT es un proveedor especialista en tecnología de servicios transaccionales. Sus productos ofrecen integración de sistemas de pagos, recaudación de fondos y optimización de canales; para aumentar los ingresos, reducir costos e impulsar la rentabilidad. La tecnología utilizada está probada en entornos de crecimiento de alto volumen y proporciona los estándares de seguridad y soporte que demandan las grandes empresas.

Varios bancos utilizan este intermediario para realizar transacciones, junto a una leyenda de que “las transacciones realizadas mediante este sistema son seguras“.

Seguir leyendo

Vulnerabilidad en plugin para WordPress afecta a más de 200 sitios

marzo 25, 2013 /

La vulnerabilidad afecta al plugin WP Banners Lite, tiene más de 16 mil descargas y está  bien valorado por los usuarios. Segun una búsqueda rápida, el plugin está siendo usado por lo menos en 200 sitios. Dentro de los afectados encontramos a un banco, sitios de noticias y al menos 8 sitios web del gobierno de Ecuador.

Intenté reportar la vulnerabilidad al desarrollador del plugin mediante el link de contacto de su sitio web, pero solo recibí la respuesta automatica de wordpress que acusaba recibo del mensaje de contacto y que se contactaría conmigo lo antes posible, pero eso nunca pasó.

Seguir leyendo

Seguridad del sistema de Servicio de Impuestos Internos (SII): Algo anda mal …

marzo 11, 2013 /

En el post anterior ya vimos cómo el mismo sistema de servicios de impuestos internos (SII) violaba la seguridad de nuestras contraseñas; en este nuevo post comentaré las recomendaciones de seguridad que aparecen publicadas en el sitio web del SII y tambien analizaré el manual de configuracón para la utilización de ingreso mediante certificado digital o firma electrónica.

En este link, pueden ver las Recomendaciones de Seguridad, donde dan los siguientes consejos:

  • Nuestro Servicio sólo envía correos de carácter informativo, no se adjunta ningún link o documento que deba descargar.
  • El Servicio nunca solicitará respuesta a los correos electrónicos.
  • Nunca se solicitará datos personales, rut ni su clave secreta.
  • Si le solicitan este tipo de información puede estar siendo víctima de un fraude, provocado por un phishing, virus o troyano.
  • Escriba la dirección completa www.sii.cl en su navegador de internet y asegúrese de hacerlo en lugares conocidos.
  • Mantenga su computador actualizado con sus parches y antivirus al día para protegerlo de software malicioso.
  • Si su navegador (Firefox, Explorer, Chrome u otro) le ofrece “volver a recordar clave”, no lo acepte nunca.
  • No permita que otros vean su clave secreta.
  • No ocupe la misma clave del SII para otros sitios en Internet.

Seguir leyendo

Falsa sensación de seguridad: Sitio web ‘Protege tus datos’

noviembre 1, 2012 /

Hace un par de años se lanzó un sitio web llamado “Protege tus datos“, el cual busca enseñar y educar al usuario para evitar fraudes en internet. Iniciatica de Microsoft y de la Asociación de Bancos e Instituciones Financieras (ABIF), contando con el apoyo de distintos bancos.

La iniciativa suena bastante bien, pero como era de esperar de una idea de Microsoft, la información está maleducando al usuario de internet. El primer error es que se centre solo en un sistema operativo y solo en un navegador web, siendo que en la actualidad existen mas alternativas a las que el sitio menciona.
Esto es una crítica a la Asociación de Bancos e Instituciones Financieras de Chile (ABIF) y a los bancos u otras instituciones financieras que apoyan esta iniciativa, si bien Microsoft está detrás de todo esto, creo que es demasiado irresponsable no atacar el problema como se debe, la seguridad de los usuarios no es marketing y en este sitio claramente se está jugando con eso.

Seguir leyendo

Nivel de seguridad informática en los gobiernos

septiembre 3, 2012 /

Con este título publico el primero de los resultados de las investigaciones enviadas para el concurso de investigación en seguridad informática organizado junto a ComunicaciónAr WebHosting.

El documento fue enviado por Ignacio y trata sencillamente de que los sitios o sistemas web del gobiernos son facilmente vulnerables a ataques tan simples y basicos como SQL Injection y Cross-Site Scripting, los cuales permiten realizar ataques desde un ‘deface’ local a nivel de cliente  hasta tomar control remoto del servidor.

Seguir leyendo

Vulnerabilidad permite el robo de información en el sistema del S.I.I

febrero 20, 2012 /

Ya han sido varias las vulnerabilidades que han afectado a este sistema, como pueden ver en Secureless, se han reportado vulnerabilidades correspondientes a redirección de URL abierta, es decir, el usuario podía ser redireccionado a cualquier URL externa sin su autorización y otras del tipo Cross-Site Scripting, que permite al atacante incrustar código html/javascript arbitrariamente y aprovecharse de la confianza que el usuario tiene sobre el sitio para robar información, suplantar su identidad mediante el robo de cookies o bien incrustando un formulario falso para que el usuario entregue sus datos de autentificación (rut, password) al atacante.

Esta es una demostración de que tener un sitio con SSL o HTTPS no significa que sea “seguro”.

DISCLAIMER: Antes que todo, me gustaría aclarar los motivos de hacer pública esta demostración. Hace varios meses intenté reportar la vulnerabilidad de Redirección de URL que afectaba al momento de iniciar sesión pero no obtuve respuesta y luego de haberla hecho publica, apareció solucionada. La última vulnerabilidad XSS que encontré logré reportarla al encargado de seguridad de la institución (gracias a un contacto que no tenía antes), la respuesta que obtuve fue:

Escalé al Area de Mantención , para que mitigue la vulnerabilidad, te enviaré e-mail cuando esté mitigada.

Muchas gracias por la información

1 mes despues de este correo, no he recibido ninguna notificación. Luego de haber dicho lo siguiente, hace 3 dias:

La vulnerabilidad apareció corregida.

Esta vez avisaré a los responsables pero no esperaré a que lo solucionen para hacer público este artículo. Creo que los usuarios del Servicio de Impuestos Internos debe conocer los riesgos de realizar trámites online con una plataforma que no brinda la suficiente seguridad.

Seguir leyendo

« Anteriores entradas Siguientes entradas »

© 2024 El rincón de Zerial

Tema por Anders NorénSubir ↑