Servipag: Continua siendo un portal de pagos inseguro

Pasa el tiempo y, luego de haber reportado las vulnerabilidades que afectaban a Servipag, siguen apareciendo nuevas vulnerabilidades que afectan al portal de pagos. Esta vez se trata de 2 nuevas vulnerabilidades, una reportada en Secureless, que atenta contra la privacidad de los usuarios, permitiendo que cualquier persona pueda acceder a los comprobantes de pago de cada cliente, simplemente moficiando una variable en la URL, la segunda se trata de un XSS en el mismo sitio del comprobante de pago.

Servipag continua diciendo que sus politicas y tecnologías de seguridad son en base a altos estandares nacionales e internacionales y segun ellos, las vulnerabilidades que existen no ponen en riesgo la informacion de los usuarios, ya que todo el proceso de compra/pago y transaccion no se hacen directamente en los servidores de ellos … PERO, sorpresa, ellos guardan un comprobante de pago de forma local, pudiendo acceder a TODOS los comprobantes de pagos de quienes usen el servicio, sean o no usuarios registrados.

Que tipo de información podemos ver aqui?

1. Se refiere al “cliente” como “Usuario”, lo mas probable que no esté registrado en servipag, de lo contrario mostraría el nombre.
2. El banco mediante el cual se hace el pago.
3. Empresa o servicio que se paga.
4. Monto, fecha y ID del pago realizado.

Con esta información es posible relacionar a personas con un banco especifico y ademas con el consumo de un servicio, en una fecha especifica. Esta información podría ser útil para enviarle una trampa al usuario, un correo fake (phishing) con datos reales como su nombre, banco al que pertenece, servicios que consume, fechas en las que hace el pago … en fin, una serie de información que nadie tendría que saber.

Si jugamos modificando el Id del comprobante de pago, podemos encontrar datos reales, como es el caso del 68012208:

Una persona, cuyo  nombre aparece en el comprobante, que tiene cuenta en el banco estado y es cliente de Movistar.

No es esto poner en riesgo los datos de los usuarios?

La otra vulnerabilidad encontrada, se trata de un XSS que afecta a este mismo sitio donde se muestra el comprobante de pago. Nuevamente, es posible saltarse los filtros -parecen de juguete- que los desarrolladores pusieron, pudiendo inyectar código Javascript o HTML.

Cual es el potencial riesgo de estas dos vulnerabilidades juntas?

Es simple, solo con un poco de imaginación podemos crear una pagina de pago falsa y usar los datos de los clientes obtenidos desde su comprobante de pagos para enviar un correo malicioso insitando a que el usuario caiga en una trampa, para poder robarle información privada como usuarios, claves, etc.

Nuevamente, Servipag NO está cumpliendo con entregar un servicio seguro a sus clientes.

ACTUALIZADO Al parecer Servipag ya solucionó el problema del comprobante, ya que al intentar ver un comprobante de pago muestra un mensaje que la información no está disponible. Esperemos que no sea una solución trucha. El XSS siguen existiendo:

Las vulnerabilidades fueron reportadas el dia sabado, pero no respondieron .. Intentaron solucionar los problemas silenciosamente, pero solo pudieron solucionar uno.

ACTUALIZADO (6 de Septiembre)
Luego de semanas de haberlo reportado por correo y sin tener respuesta, me decidí a publicar la vulnerabilidad XSS para “obligarlos” a corregirla. Luego de publicarla, no pasaron ni 20 minitos y fue solucionada:

https://www.secureless.org/vulnerability/2034/

10 comentarios

  1. interesante como denuncia, pero si ocultas información, hazlo bien: el nombre del usuario del comprobante de pago sigue siendo PERFECTAMENTE legible.

  2. Zerial

    agosto 29, 2011 a las 11:26 am

    Hola miguel:

    La idea no es “ocultar” la informacion, solo dificultar la lectura. Porque date cuenta: Antes de mostrar la imagen aparece el numero “68012208”, basta con que pongas en el sitio vulnerable ese ID y podras ver el nombre 😉

  3. ¿Estará todo eso indexado? bastaría con buscar en el caché de G xD

  4. Me pareció bueno tu POST hasta que me percate de una inconsistencia, el supuesto mensaje de la solución “silenciosa” en tu POST ACTUALIZADO, es el mismo que aparece cuando publicaste el POST ORIGINAL, raro, osea ¿te lo imaginaste? o estos tipos son mas rapidos que el rayo, no creo.
    Si vas a publicar un “data leak” que sea de verdad, si no perdemos tiempo todos.
    Sobre tu respuesta a Miguel, si la idea NO es “ocultar”, entonces para que pierdes tiempo en “dificultar”, mas raro aun tu pensamiento.
    Trate de recuperar el numero “68012208″ en el sitio como indicas y no pasa nada.
    Conclusión, malito tu POST.

  5. Zerial

    agosto 30, 2011 a las 8:56 am

    Hola VfinETTA:

    La vulnerabilidad existe hace mas de 8 meses, fue reportada antes de escribir este post, fue solucionada despues de publicar el post. Suele ocurrir con los “disclosures”, que parte de eso no te cuadra? Si conocieras mi forma de trabajar entenderias por que sucede esto, pero es normal.

    Informas- no teoman en cuenta
    Publicas- aparece solucionado

    Si hubieses leido el post y probado con ese numero 24 horas antes, te hubiese resultado 😉

    Respecto a si perder o no pderder mi tiempo modificando la imagen, pues la verdad es que es mi tiempo y para mi no fue tiempo perdido, quizas perdiste mas tiempo escribiendo ese comentario.

    saludos

  6. Hola Zerial, en mi opinion sería de gran ayuda que cuando puedas obtener información de clientes, al mismo tiempo pudieras coordinar con SERNAC e iniciar algun tramite por publicidad engañosa, independiente de que lo solucionen o no ya que al parecer cuando tu les avisas a estas empresas no te toman en cuenta. Se agradece tu trabajo en informarnos de la real seguridad.
    Ya vasta con el manoseo y lucro de la información privada.

  7. VfinETTA no se porque dices eso si con nuna variante aun se pueden ver. Que tu no puedas verlo porque vas y pruebas lo mismo después del parche no impkica que no esté ahi.

  8. http://200.68.2.74 –>Otro fallo mas de seguridad, y supuestamente son lideres!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.