No es primera vez que el Banco Estado cae en errores como estos, en el año 2012 publicó un log de transacciones que superaban los 5GB diarios. Durante la semana pasada detecté que muchos de los cheques depositados y los comprobantes de depositos podían ser vistos por cualquier persona, sin ningun mecanismo de autenticación ni control.
Los cheques correspondían a documentos escaneados, por ambos lados.
Los documentos podían ser vistos mediante la URL https://empresas.bancoestado.cl/bancoestado/muestra_cheque.asp, entregandole mediante GET los parametros num_cta y num_doc.
Luego de haber comentado esta situación en Twitter, mencionando a la cuenta del @BancoEstado, me contactaron para que les entregara mas detalle respecto al hallazgo.
Les envié los antecedentes correspondientes y unas horas despues me confirmaron el hallazgo y que al ser muy compleja la solución, optaron por dar de baja esa funcionalidad hasta contar con la seguridad correspondiente.
Actualmente aparece un mensaje de mantención cuando se intenta acceder
Estimado cliente, en este momento la visualización de documentos está en mantenimiento.
Estamos trabajando para reponer el servicio a la brevedad.
Hasta el día de hoy no existe fecha tentativa para una solución al problema y tampoco un reporte sobre las empresas o personas afectadas.
saludos.