Cómo el Banco Santander (no) protege la información de sus clientes

Santander

En este nuevo capítulo de la seguridad del Banco Santander veremos la poca preocupación que tiene esta entidad bancaria por proteger la información de sus clientes. Si bien para poder llegar a esta información hay que tener la clave de 4 digitos, no deja de ser preocupante ya que puede ser utilizada para realizar fraudes.

La información que expone el banco corresponde al correo y al numero de celular del cliente. Una vez que el atacante ingresa al portal con el RUT y clave de 4 digitos, podría efectuar un ataque de ingenieria social via telefónica  o por correo electrónico con el afectado, solicitando antecedentes necesarios para cometer el fraude.

Es un error muy estúpido, que probablemente los que desarrollaron esta funcionalidad no le dieron ni la menor importancia.

Al ingresar al portal del Banco Santander Chile, nos despliega una opción de “Actualizar Datos”, mediante la cual podemos modificar nuestra dirección, número de teléfono, correo personal, etc. Como medida de seguridad y de protección, el sistema nos despliega el numero de celular y el correo censurado con “asteriscos”

Santander - Seguridad

Santander - Seguridad

Sin embargo, si vemos el código fuente podemos ver como aparece toda esa información sin los asteriscos correspondientes.

Santander - SeguridadSantander - Seguridad

Por un lado nos muestra la información “escondida”, remplazando algunos caracteres por “*”, y por debajo nos muestra la información en texto plano. ¿Qué sentido tiene?

 

 

 

7 comentarios

  1. Tienes razón, es un error muy estúpido.

  2. No se como escribirlo sin que suene sarcamos, de verdad: ¿como sería una buena manera de mejorar eso?.¿codificarlo (md5,hash)?, sessiones?, cookies?. Saludos

  3. Creo que el problema ya se encuentra corregido, o al menos eso intentaron, ya que ahora para actualizar los datos se deben ingresar las coordenadas solicitadas de la tarjeta de superclave.

  4. nodoc: Lo ideal seria hacer un select a la base de datos y cambiar los caracteres on-the-fly, sin mostrarlos nunca. El problema es que aca lo muestran son * pero luego lo agregan como campo hiden en plano. Ese campo hiden en plano perfectamente podria ser un “id” que haga referencia a ese registro en la db

  5. Yacuza:

    Escondieron el problema

  6. Pero para entrar a modificar datos necesitas la super clave, igual super rebuscada la falla xDDD

  7. Gracias Zerial,ayuda tu respuesta. Muchas gracias de nuevo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.