Servipag viola las políticas de privacidad y expone datos sensibles de sus clientes y transacciones

Nuevamente en la mira el portal de pagos “más seguro” de chile, Servipag.com. Ayer durante el día en el twitter de Servipag, @ServipagOnline, publicaron una frase que me llamó la atención, en la que le decian a sus followers o clientes que todos sus datos y transacciones estaban correctamente asegurados ya que utilizan la tecnología SSL

Lo unico que hace Servipag con este comentario es generar una falsa sensación de seguridad, les voy a decir por qué …

Primero que todo, esa tecnología SSL de la que hablan significa que, mediante un certificado, cifran la información que viaja desde el servidor hasta los usuarios, permitiendo una comunicación segura y que –en teoría– no puede ser interceptada. Además le entrega una identidad de confianza al dominio. En la practica suena muy bonito y considerando lo que estos amigos de Servipag nos dicen, podriamos estar 100% confiados de que nuestra información está debidamente protegida y que nuestras transacciones jamás podrían ser interceptadas, sin embargo, esto no es así.

Exiten distintas formas de romper la comunicación segura entre el cliente y el servior, como por ejemplo ataques mediante SSLStrip o bien aprovechandose de los certificados débiles realizando ataques B.E.A.S.T/C.R.I.M.E, pero lo que mostraré en este post es mucho más simple y no hay que ser un hacker ingenioso para poder entenderlo ni ponerlo en practica, lo único que hacemos será usar Google.

Lo que vamos a hacer es sencillo, simplemente le diremos a Google que busque dentro del sitio de Servipag.com las palabras “Tx”, “Rut” o “Rut2” en la URL.
En el resultado de una de las busquedas, encontramos lo siguiente:

En estos resultados podemos ver en la URL el RUT de una persona asociado a un correo electrónico y a un “banco”. Por ejemplo, ingresamos al segundo resultado cuya URL es https://www.servipag.com/browse.asp?pagina=servipag/inter_bcobci.htm&usuario=EXPRESS&banco=16&tipo=1&cuenta=0000&rut2=0XX043687X&mail=rockXXXXXX@live.cl (algunas letras han sido reemplazadas por X por seguridad). Si se fijan lo que viene despues de “browse.asp?pagina=” dice “inter_bcobci“, por lo tanto ya sabemos que el rut XX.043.687-X tiene cuenta en correo BCI y su dirección de correo electrónico es rockXXXXXX@live.cl. Todos sabemos lo fácil que es obtener el nombre completo de una persona solo con su rut, en este caso este rut corresponde a Patricia L. M. Rodriguez (omití el segundo nombre y primer apellido). Bien, gracias a Servipag tenemos el RUT, correo, banco y nombre completo de uno de sus usuarios, información necesaria para realizar algun tipo de fraude.

Otro ejemplo es usar Google para buscar cupones de pago o deudas a pagar. Servipag incrusta en algunas urls la variable “idTx” para hace referencia al ID de una transacción, por lo tanto vamos a buscar lo que Google nos entrega si le decimos que nos busque “idTx” dentro de Servipag.com:


Si pinchamos el resultado, nos lleva a la URL https://www.servipag.com/BotonPago/BotonPago/MediosPago?idTx=00800000006031000000303102&rut=XX767822X&nombre=marcelaXXXXXtoledo (algunas letras han sido reemplazadas por X por seguridad), donde podemos ver el ID de la transacción, el RUT y el nombre de quien realizó el pago. Y lo peor, es que al ingresar a ese link nos indica que cuenta estamos pagando y el valor

Gracias a esto, tenemos la siguiente información: RUT y nombre del deudor, monto exacto de la deuda y el servicio al cual corresponde la deuda. Información suficiente para poder engañar el usuario y generar algun tipo de fraude.

Y podría seguir con muchos otros ejemplos …

Lo más irónico de todo esto, es que en el mismo portal de Servipag ellos indican que cumplen con los más altos estandares de segurida da nivel internacional y los datos y transacciones son 100% seguros y 100% privados. Aqui pueden leer el chiste: https://www.servipag.com/Portal-De-Pagos-En-Linea/Home/Seguridad. Espero que aprendan que la seguridad al 100% no existe.

5 comentarios

  1. :S yo pagaba todo por servi pag

  2. Buen post estimado.

    primero : “Contamos con los estándares de seguridad más “rigurosos” a nivel mundial” ?? mmm suena mucho para tan poco segun lo que tu nos muestras
    segundo : “100% seguro” ??
    tercero : “todas nuestras transacciones se encuentran certificadas por Verisign.” ?? certificadas por Verisign, deja en evidencia el gran prestigio y confiabilidad de Verisign
    tercero : ” datos 100% PRIVADOS” ?? indexados por google ?? jajaja tan care raja y ademas ponen en mayuscula “PRIVADOS”
    cuarto : “toda tu información personal es y será tratada estrictamente confidencial” segun mi punto de vista y mi experiencia este punto es el mas delicado primero deja en evidencia la falta de respeto de nombrar a SBIF si no cumple con absolutamente nada y aun mas critico que dicen “nos regimos por las normas de la Superintendencia” osea la pega de los SUPER y GRANDES AUDITORES DE LA SIF estan haciendo mal la pega o no revisaron los controles de seguridad implmentados

  3. Creo que bancos como el Banco de Chile utilizan el servicio de pago de cuentas q les entrega ServiPAg

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.