Banco Estado expone cheques y comprobantes de depositos

banco-estado

No es primera vez que el Banco Estado cae en errores como estos, en el año 2012 publicó un log de transacciones que superaban los 5GB diarios. Durante la semana pasada detecté que muchos de los cheques depositados y los comprobantes de depositos podían ser vistos por cualquier persona, sin ningun mecanismo de autenticación ni control.
Los cheques correspondían a documentos escaneados, por ambos lados.

Los documentos podían ser vistos mediante la URL https://empresas.bancoestado.cl/bancoestado/muestra_cheque.asp, entregandole mediante GET los parametros num_cta y num_doc.

Cheque - Banco Estado

Luego de haber comentado esta situación en Twitter, mencionando a la cuenta del @BancoEstado, me contactaron para que les entregara mas detalle respecto al hallazgo.

mailbestado

Les envié los antecedentes correspondientes y unas horas despues me confirmaron el hallazgo y que al ser muy compleja la solución, optaron por dar de baja esa funcionalidad hasta contar con la seguridad correspondiente.

Actualmente aparece un mensaje de mantención cuando se intenta acceder
Estimado cliente, en este momento la visualización de documentos está en mantenimiento.
Estamos trabajando para reponer el servicio a la brevedad.

Hasta el día de hoy no existe fecha tentativa para una solución al problema y tampoco un reporte sobre las empresas o personas afectadas.

2 comentarios

  1. Es una funcionalidad especial de los “Cheque Pagago”

  2. Por lo menos se dignan a solucionar inmediato la brecha.

    saludos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.