“Alto Estándar de Seguridad” del PortalInmobiliario.com: Guardar las passwords sin cifrar

PortalInmobiliario.com es un sitio web que permite publicar, buscar y cotizar viviendas para arriendo o compra. Según ellos, son El punto de encuentro de la oferta y demanda inmobiliaria en Chile.

Como la mayoría de los sitios que tienen login y obligan a sus usuarios a registrarse para adquirir cierto tipo de información, el PortalInmobiliario tiene su propia cláusula de términos y condiciones. Ellos le llaman “Beneficios y Alcances“, y en ella podemos ver la sección donde dice “Reserva y confidencialidad de datos”:

La parte más importante es donde dice

Portalinmobiliario.com ha desarrollado tecnologías e invertido importantes recursos en mantener un alto estándar de seguridad de las bases de datos de propiedades y usuarios, pudiendo asegurar la mejor protección para ellos.

Especialmente la parte que marqué con negrita.

Lamentablemente para su alto estándar de seguridad y para los usuarios que creen en ellos, las claves/passwords de usuario se guardan en la base de datos sin cifrar, es decir, cualquier persona que acceda a la base de datos podrá conocer las passwords.

¿Cómo saberlo?
No es necesario ser un experto informático ni hacker para darse cuenta, es bastante sencillo.
Hace unos meses me registré en ese sitio y luego de no entrar por mucho tiempo se me olvidó mi contraseña, por lo que me fui a la opción “Recuperar Contraseña” y mi sorpresa fue cuando me llegó el correo con la información solicitada: Me enviaron la password en texto plano!

Obviamente, la única conclusión que puedo sacar es que no están cifrando o hasheando la password usando un algoritmo one-way. Hay 2 opciones, o la cifran usando uno que permite descifrado o bien directamente no la están cifrando, cualquiera sea el caso, no es seguro.

10 comentarios

  1. SI estan usando cifrado que se puede descifrar usando sus propias llaves no lo veo inseguro. PGP por ejemplo deja descrifrar solo teniendo la llave privada y no por eso es inseguro, la llave la podría tener el propio sistema.

  2. Zerial

    junio 15, 2011 a las 10:42 am

    jajajaja .. Hola @Elinfame.

    Es exactamente la respuesta que esperaba. Considere ponerla entre “las posibilidades” pero luego dije mejor no.

    Realmente, quien usa una llave PGP (o algun metodo de llave publica/privada) para almacenar datos en una base de datos?

    Bueno. El punto no es este, el punto es otro. Por qué ellos podrían leer tu clave? Las password deben cifrarse y hashearse con metodos de una sola via, es decir, que se puedan cifrar y no desciifrar, pues es una CONTRASEÑA, no puede ser legible.

    Que una contraseña sea legible, aunque esté cifrada con llaves publics/privadas, es una falla de seguridad. Si un atacante entra al sistema, es cosa de revisar el codigo de la aplicacion y saber donde está la llave para poder descifirarlo. Entonces, cual es la seguridad?

    saludos

  3. Jajaja, excelente respuesta Zerial, sin embargo ya pasa a ser un tema de opiniones personales, por ejemplo SAP hace hash one-way pero su hash es relativamente debil y es facil de romper y no por eso es más seguro que un Hash AES que se puede descifrar usando algun tipo de Key o llave, pgp es solo un ejemplo. De todas formas se nota que en portal inmobiliario tienen un mayor problema con sus claves. Saludos!

  4. Zerial

    junio 15, 2011 a las 10:48 am

    Asi es @Elinfame, no por tener un hash one way significa que sea seguro ya que, como dices, puede que perfectamente ese hash oneway sea facilmente “rompible” o “colisionable”.

    saludos

  5. @Zerial Se me olvidaba… este era el aporte que queria dejar antes del comentario, no me dan ganas de hacer disclosures asi que es todo tuyo: http://www.portalinmobiliario.com/Buscador.asp?Pref=1&Home=True&cmdAceptar=&chkVenta=ON&Tipo=24343%253C%2522%253E&BusEn=3&Reg=40247alert(“XSS”)

  6. Bueno, tu pagina filtro el script del XSS del portalinmobiliario, pero tu ya sabes la idea 😉

  7. Zerial

    junio 15, 2011 a las 2:16 pm

    Gracias por el aporte @Elinfame

    saludos

  8. Zerial

    junio 25, 2011 a las 1:32 am

    @seth: Hasta ahí llegó el “alto estándar de seguridad”

  9. Luis.S.Urrutia.F

    agosto 3, 2011 a las 6:58 am

    Bueno zerial, primero, excelente blog, felicitaciones.
    Segundo, lo que dices respecto a las claves cifradas es verdad, si bien es posible que el texto este cifrado, no es seguro que sea así debido a que como dices, si un usuario mal intencionado logra dar con el código de descifrado o el algoritmo más la key, constituye una falla de seguridad muy grande solo si descuidan la seguridad de sus servidores, porque también como dice @Elinfame, si fuese un hash one-way con muchas colisiones o hubiese muchas bases de datos con hashes de este tipo (como ocurre con md5), constituye una brecha de seguridad posiblemente igual, que la de almacenarlas bajo texto cifrado.
    Si lo analizas mejor, cifrada o no, de igual forma no es moral, porque si un fucking BOFH (espero que conozcas este termino xD) tiene acceso a estas contraseñas cifradas o no cifradas, puede contrarrestarlas con las contraseñas de nuestros correos electrónicos, y si da con alguna en la que sea igual, podría acceder a ellos; pero esto ya es una de las brechas más grandes de seguridad, una falla del BIOS (Bichito Ignorante Operando Sistema xD), es decir entre el ordenador y la silla/cama/mesa/watér/etc. xD

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.