El Phishing y el Banco BBVA Chile

El banco BBVA Chile no se queda atras en sus vulnerabilidades y buscando donde poder reportarlas no he encontrado nada, solo teléfonos donde piden demasiada información personal. No hay ningun formulario ni correo electrónico, por lo que nuevamente se acude a la tecnica de la publicación.

Al igual que lo comentado en el post de El Phishing y el Banco Santander Chile, la idea es dar a conocer como los bancos se lavan las manos con sus campañas anti phishing y anti fraudes, pero no son capaces de ofrecer una plataforma lo suficientemente robusta. Nuevamente este tipo de vulnerabilidades afectan a los usuarios y no al banco directamente, permitiendo el robo de credenciales e información personal, suplantación de identidad, etc.

La vulnerabilidad Cross-Site Scripting detectada se encuentra en la página principal del banco https://www.bbva.cl y corresponde al buscador. El tipoco error de no parsear los parametros de entrada que se pasan por el forumlario o por URL (GET/POST).

La vulnerabilidad no ha sido reportada al banco ya que no se ha encontrado ningun método de contacto, pero se ha publicado en Secureless junto al mismo tipo de vulnerabilidad correspondiente al BBVA de Colombia.

El script vulnerable corresponde a https://www.bbva.cl/tlch/jsp/ch/esp/meta/buscador/buscar.jsp que pasandole los parametros necesarios es posible ejecutar código javascript o html mediante la variable q.

Las politicas de seguridad del banco dicen textualmente:

Permitiendo este tipo de ataques (xss) el banco no está cumpliendo, ya que un atacante puede suplantar la identidad del sitio y abusar de la confianza que tiene el usuario/cliente en el sitio web del BBVA, pudiendo interceptar el tráfico, generar formularios falsos, redireccionar al usuario a sitios malignos, etc.

Nuevamente, este es un llamado para que los bancos se hagan cargo de este tipo de cosas!

Editado: (13 de Junio del 2011) La vulnerabilidad se encuentra corregida. El banco no respondio ningun email y tampoco dio ningun tipo de comunicado o mensaje al respecto.

5 comentarios

  1. Fui víctima de esto, me transfirieron 12.000.000 en tres días , acabo de prensentar querella, espero que el Banco me responda ya que sus sistemas son vulnerables y ellos lo saben .

  2. Zerial

    junio 4, 2011 a las 2:49 pm

    hola Pilar.

    Efectivamente, los bancos saben que ellos son vulnerables y que su tecnologia no ayuda mucho en la pelea contra el phishing. Ellos solo se limitan a decir “protege tus datos” y ofreserte “seguros” a cambio de dinero.

    Estamos preparando algo mas detallado sobre este caso del banco bbva para que estes pendiente.

  3. Sería buenísimo saber con más detalle de que se trata todo esto, ya que hasta ahora no entiendo como pudo haber pasado , el banco hasta hoy ” está investigando” y de mi plata nada. Lo único que quiero es que se hagan cargo ya que uno cree que ellos tiene sistemas seguros y se siente tranquilo….error.
    Gracias , estaré atenta

  4. Hola en bbva colomba la falla ha sido corregida de la manera mas sencilla han colocado como buscador el servicio que ofrece google para realizar busquedas en tu sitio web

  5. Hola…
    como comentario, BBVA o Bancomer tiene problemas de ese tipo en muchos paises, Mexico incluido (es donde vivo actualmente) y todo el mundo que les comenta del problema a nivel de consultoria de seguridad nada mas contestan que lo saben, pero es mas barato pagar lo que hagan que pagar que les solucionen… ya saben de esas soluciones corporativas que solo ganan ellas…..
    Saludos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.