Banco Estado expone informacion sobre las transferencias realizadas

Me llegó un correo informandome de una vulneraiblidad critica que afecta al Banco Estado, especificamente a la plataforma movil del banco estado. Se trata de la divulgación de un log de transacciones ubicado en los servidores del Banco, accesible libremente por cualquier usuarios. El log no se encontraba protegido bajo ningun mecanismo de seguridad y la información que exponía es increible.

La información expuesta en este archivo corresponde a nombre de la persona que está realizando la transferencia, nombre del destinatario, email del destinatario, cuenta de origen y destino, montos asociados a la cuenta, información de la tarjeta de coordenadas y además, la password que utiliza el usuario para ingresar al portal. Todo esto debería estar cifrado, ya que utilizan SSL para las peticiones, pero en este log aparecía todo en plano. No tiene sentido que cifren el trafico para prevenir sniffeos y robos de datos en las redes si exponen todo el trafico en tiempo real en texto plano. Es como no usar SSL.

La vulnerabilidad afecta a todos quienes hayan realizado algun tipo de transacción en el portal, al parecer corresponde a un log que va rotando diariamente, por lo que solo se podía acceder a la información del día.

Especificamente, la dirección donde se alojaban estos archivos corresponde a https://m.bancoestado.cl/log/log.txt, una URL facil de adivinar. Sin protección.

Dentro del archivo aparecían líneas como por ejemplo

[13] DEBUG Transferencias_Paso3 – TxtCoord1 [78]
[13] DEBUG Transferencias_Paso3 – TxtCoord2 [17]
[13] DEBUG Transferencias_Paso3 – TxtCoord3 [64]

Que corresponden a los tres numeros de la tarjeta de coordenadas que el banco solicita al usuario: 78, 17 y 64. Si bien no es posible obtener a que numero de coordenadas corresponden (por ej: B1, C5, H3), es información sensible que podría ser utilizada por un atacante.

Luego de eso, aparecian otras lineas que contienen información como:

08-07 00:02:36 [14] DEBUG BankingService – POST FINAL [controlBack=1&NumClick=1&FuncionalidadPlantillas=SI&ProdDestino=Cuenta Corriente&RutTercero=5.XXX.XXX-1&NomTercero=GRXXXXX OLIVARES&NomOrigen=ROBERTO XXXXXX           PONCE                     XXXXXXX &NomTrans=Transferencia a Terceros&CtaTercero=0000000050010001XXXX&MailTercero=&MailOrigen=roxxxxx@hotmail.com&CodBancoTercero=504&NomBanco=BANCO BILBAO VIZCAYA ARGENTARI&txtCodBcoterc=CCT&SaldoDisponible=XXX.XXX&SaldoDisponibleLCR=0&SaldoDisponibleTOTAL=XXX.056&TipoAuth=GRID&Serie=XXXXXX&Parte_1=F&Parte_2=2&Parte_3=F&Parte_4=3&Parte_5=C&Parte_6=2&CuentaDestino=0000000050010001XXXX&txtUserName=ROBERTO XXXXXX           PONCE                     XXXXXX&coord_1=27&coord_2=22&coord_3=95&PWD=LA_PASSWORD!&strIP=ip.interna.del.banco]
08-07 00:02:36 [14] DEBUG BankingService – URL FINAL [https://personas.bancoestado.cl/bancoestado/process.asp?MID=9902&AID=NEWTRFATERCEROS-004&RQE=7A9C462B11054802BA7EDCBE2FE57DEB&rnd=11FF5C6C&ssnid=399E8BD1]
08-07 00:02:36 [14] INFO  WebBrowser – Invocando [https://personas.bancoestado.cl/bancoestado
08-07 00:02:37 [56] INFO  Global – breadcum: [161280380][https://m.bancoestado.cl/SubMenu.aspx?smn=chee]
08-07 00:02:37 [56] DEBUG SessionWebAuthentication – False
08-07 00:02:37 [14] DEBUG WebResponse – Leerá HTML usando Charset: [ISO-8859-1] y Encoding: [System.Text.Latin1Encoding]
08-07 00:02:37 [14] DEBUG WebBrowser – <html>

Obviamente, modifiqué algunos datos cambiandolos por “X” para proteger la información del afectado.

Los datos en negrita es lo que nos interesa, donde se divulga información sensible de las personas:

  1. RutTercero
  2. NomTercero
  3. NomOrigen
  4. MailOrigen
  5. NomBanco
  6. SaldoDisponible
  7. coord_1
  8. coord_2
  9. coord_3
  10. PWD

Hay una parte interesante que probablemente corresponde a los datos de la coordenadas que nos hace falta:

Parte_1=F&Parte_2=2&Parte_3=F&Parte_4=3&Parte_5=C&Parte_6_2

Lo traducimos a

F2 = 28
F4 = 22
C2 = 95

Que corresponden a los datos solicitados por el banco para realizar la transferencia. Luego de hacer un seguimiento al log es posible ir obteniendo todos los datos de las coordenadas, hasta que obtengamos TODAS.

Información suficiente para suplantar la identidad de esa persona.

Luego de varios intentos, logré hacer llegar este fallo/bug/vulnerabilidad a la gerencia de informática o de tecnologia del banco, quienes recibieron la información y se pusieron a trabajar en el asunto.

Independiente de que si el banco soluciona el problema o no, tengo varias dudas al respecto:

  1. ¿Notificará el banco a los usuarios afectados para informarles que sus datos fueron expuestos?
  2. ¿Informará el banco a los afectados para que cambien su contraseña?
  3. ¿Se preocupará el banco de renovar las tarjeta de coordenadas a sus clientes?
  4. ¿Cuantos usuarios fueron los afectados?
  5. ¿Cuantas personas pudieron acceder a ese archivo log?

Yo pienso que el banco debería notificar a todos los afectados, ofrecerles un seguro anti-fraude de forma gratuita, ya que el banco fue quien expuso su información y además ofreceles algun tipo de indemnización.

¿Que dice la superindentencia de bancos frente a estos asuntos?

Este post ha sido publicado luego de que Banco Estado haya sido informado y solucionado el problema.

ACTUALIZACIóN

Luego de un análisis y conversaciones con Banco Estado, se llegó a la conclusión de que la clave de ingreso al portal de usuario no corresponde a la almacenada en la variable PWD. El valor de esta variable corresponden a los tres valores de las coordenadas concatenadas, es decir, si las coordenadas B2=23, C1=44,A2=75, el valor que toma PWD es de 234475.

Creo que es importante aclarar este punto, ya que los riesgos disminuyen bastante. Tambien es muy importante remarcar que la única forma de obtener todos los valores de la coordenadas es que el usuario haya hecho muchas transferencias y que el sistema le pidiera muchas veces las coordenadas.

Por otro lado, las personas que estan tratando este tema en el Banco Estado, estan trabajando en notificar a los afectados dandole toda la seriedad posible al asunto.

15 comentarios

  1. Buen articulo!, si encuentro otra te la envio.

    Saludos.

  2. Sólo un pequeñísimo detalle: SSL (y TLS) sólo se encargan de proteger la transmisión de los datos. Datos que no sirve de nada proteger si alguien los deja a vista de todos :’)

  3. Excelente artículo, haré las consultas en el banco para asegurarme. Gracias por tu importante aporte.

  4. No sé pq tengo la impresión que o te van a contratar o te harán la vida imposible…

    ¿Dónde te quedas?

  5. todo esto solo hace pensar cuanto están preocupados los del banco por los datos que corren en sus servidores , siendo que Internet se esta volviendo cada vez mas masivo , compras , pago cuentas , trasferencia . la verdad parece que todavía las instituciones bancarias sienten a Internet como un servicio de segunda dejando la seguridad de lado contratando estudiantes universitarios en practicas para sus sistemas web , cuando en realidad necesitan especialistas en el ramo .

  6. y se puede hacer alguna denuncia a la SBIF, sernac, o algún otro para que no sea gratis el asunto y gasten el 0,0001 % de sus utilidades en ser profesionales?

  7. Como siempre Zerial muy buena vulnerabilidad al descubierto con la documentación que lo acredita, la mala noticia que soy uno de los afectados con la maravillosa cuenta rut donde me depositan y pago todas las cuentas, nos vemos en la EKO saludos

  8. Excelente articulo.
    Tipicamente los bancos les hacen a sus clientes “avisos silenciosos”, o sea, nunca les cuentan que existio una falla, pero en el proximo ingreso via web les aparece una ventanita que indica que su contraseña caduco y que deben cambiarla, tambien simulan fallas temporales que impiden las transferencias a cuentas de tercero.

  9. “Todo esto debería estar cifrado, ya que utilizan SSL para las peticiones”

    No debería. Que la transmisión sea con SSL no implica cifrado de los datos, sólo del viaje de ellos entre ambos extremos.

  10. Muy buena info!! pero ingreso la dirección y se cae! me gustaría saber si soy un afectadooo!!

  11. Hola Mario,
    Es cierto lo que dices, por eso puse la aclaracion:

    “No tiene sentido que cifren el trafico para prevenir sniffeos y robos de datos en las redes si exponen todo el trafico en tiempo real en texto plano. Es como no usar SSL.”

    No es literalmente como lo escribi, es dentro del contexto de la transmision de los datos versus el log que exponen.

  12. Estimados, he consultado al banco, hasta el momento no han notificado nada al respecto, y no quieren atender nuestras consultas respecto al tema.

  13. Yo también llamé al servicio de asistencia telefónica del banco, y la ejecutuva del call center que me atendió dijo no saber nada (?!).
    Yo me informé de esta filtración en la radio Bio Bio…

  14. Supongo que no harán nada los del Banco. La info de la gente afectada solo la sabe Zerial y los que vieron ese archivo.

  15. el riesgo sigue siendo alto ya que la clave de internet del bancoestado son solo 4 números D: lo cual es muy inseguro D:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.