En este nuevo capítulo de la seguridad del Banco Santander veremos la poca preocupación que tiene esta entidad bancaria por proteger la información de sus clientes. Si bien para poder llegar a esta información hay que tener la clave de 4 digitos, no deja de ser preocupante ya que puede ser utilizada para realizar fraudes.
La información que expone el banco corresponde al correo y al numero de celular del cliente. Una vez que el atacante ingresa al portal con el RUT y clave de 4 digitos, podría efectuar un ataque de ingenieria social via telefónica o por correo electrónico con el afectado, solicitando antecedentes necesarios para cometer el fraude.
Es un error muy estúpido, que probablemente los que desarrollaron esta funcionalidad no le dieron ni la menor importancia.
Al ingresar al portal del Banco Santander Chile, nos despliega una opción de "Actualizar Datos", mediante la cual podemos modificar nuestra dirección, número de teléfono, correo personal, etc. Como medida de seguridad y de protección, el sistema nos despliega el numero de celular y el correo censurado con "asteriscos"
Sin embargo, si vemos el código fuente podemos ver como aparece toda esa información sin los asteriscos correspondientes.
Por un lado nos muestra la información "escondida", remplazando algunos caracteres por "*", y por debajo nos muestra la información en texto plano. ¿Qué sentido tiene?
Escondieron el problema