Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Vulnerabilidad en las cuentas PAC/PAT y reacciones del Santander" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
Despues del ultimo post relacionado con la vulnerabilidad que permitia acceder al código fuente del sistema, hubo distintos tipos de reacciones por parte de los usuarios y de las empresas involucradas.
Otras vulnerabilidades comenzaron a ver la luz, como por ejemplo la que afecta al sistema de asignación/modificación de los pagos automaticos de cuentas (pat/pac), que permite asignar pagos automaticos a terceras personas, sin previa confirmación. De esta forma, Juanito Perez, puede asignar el pago automatico de la cuenta de luz, agua, movil u otro a Pedrito, sin su autorización.
Varias personas se contactaron conmigo y me comentaban que habian enviado un reclamo a su ejecutivo de cuentas, para tener una respuesta formal y seria respecto a estas vulnerabilidades reportadas. Una de ella me llamo la atención, corresponde a @Van_ultraviolet, que le respondieron:
- Es una persona que necesita mucha atención, por eso hace esto.
- Cualquier persona puede acceder al código fuente.
- Revisamos las alertas del pseudo-hacker y no son reales.
Pueden ver a respuesta completa aca: https://twitter.theinfo.org/152376559511142400
Considero que esto es impresentable y que la persona que entregó esa respuesta debería pensar seriamente en dejar de ejercer su profesión.
Por otro lado, una de las empresas responsables se contactó conmigo y hemos creado un canal de comunicación para el reporte de vulnerabilidades. Ellos admitieron el fallo del Source Code Disclosure y tambien la vulnerabilidad PAT/PAC, indicando que ya está corregida en su entorno de desarrollo, sólo falta ponerla en producción.
El banco no ha respondido publicamente sobre el asunto, el “canal web” y el llamado “Community Manager” que maneja la cuenta de Twitter (@SantanderChile), tampoco se pronuncia al respecto, apesar de las insistentes quejas y reclamos de sus clientes.
Como conclusión, hay 3 empresas involucradas:
- Santander: La entidad afectada, el Banco.
- TAISA Chile: Una de las empresas involucrada en el desarrollo del sistema.
- NEOSECURE: Segun los comentarios del post anterior y segun la información que me llegaba por correo, twitter, etc, es la empresa que ve la “seguridad” del Banco, es decir, es la “empresa lider en seguridad informatica” que audita periodicamente los sistemas del santander, según ellos; Aviso de seguridad Santander.
De estas tres empresas involucradas, la uinca que se ha hecho responsable y ha dado la cara, es TAISA, quien ha reaccionado bastante bien, agradecida y con ganas de crear un canal de comunicación para este tipo de incidentes. Ademas, han reaccionado bastante rapido despues de que se hizo la publicación.
Ustedes juzguen.
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Vulnerabilidad en las cuentas PAC/PAT y reacciones del Santander" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
diciembre 30, 2011 a las 10:14 am
Excelente trabajo serial, esperemos que solucionen todos estos problemas ya que somos muchos los clientes de ese banco, y que se hagan responsable y que sean consecuente con decir que son los mas seguros y que se preocupan por la seguridad de sus clientes. Saludos.
diciembre 30, 2011 a las 10:54 am
gracias por hacer publica esta informacion, es la mejor manera de aprender de como nos cagan, porque, el negocio de los seguros obviamente… (modo conspiracion encendido)
diciembre 30, 2011 a las 6:15 pm
off topic: oye zerial, investigate esta, falabella compras por internet, no es tan grave pero te generar una boleta con el detalle de tu compra y es cosa de cambiar el ultimo numero y ver las boletas de otra gente ej:
lo primero que se vendio por internet XD
http://dte.falabella.com/prtdtefapr/generaDocumento2.do?prm=1:77261280:39::1
http://dte.falabella.com/prtdtefapr/generaDocumento2.do?prm=1:77261280:39::235464190
etc, fácil te armas una bd con los gustos y preferencias de los clientes, no se tanto sql injection u otras técnicas pero me huele a azufre!!!
diciembre 30, 2011 a las 7:54 pm
¡Jajaja! ‘cualquier persona puede’ imagino que creía que estabas haciendo clic secundario y presionando ver código fuente.
Excelente trabajo.
enero 1, 2012 a las 2:32 am
En consulta pac se puede llegar a ver lo que otros clientes han pagado y con respecto a que servicio
enero 1, 2012 a las 12:26 pm
Chanta attack eso es un falso posito
enero 1, 2012 a las 8:35 pm
Exploit-shell no es asi. Lo que sucede es que los campos cta cte y numero de mandato estan de adorno. Pero el campo identificador de servicio si es modificable. Si comienzas a bajarlo, porque es correlativo, veras de pronto que comienzan a bajar los valores.
Con esto puedes automatizar para saber cuando cobra santander en cada pac en el tiempo para todos sus clientes.
enero 2, 2012 a las 12:13 pm
Impresentable, es todo lo que puedo decir.
enero 2, 2012 a las 2:38 pm
Tambien se puede hacer xss en los mensajes de error y abrir otras webs.
Además de modificar el mensaje de error y el contenido de la web, agregando botones personalizados, redireccionando a cualquier web.
Podrias probarlo =P
enero 2, 2012 a las 2:47 pm
http://www.taisachile.cl/netoffice-2.6.0b2/general/login_taisa.php
http://www.taisachile.cl/wp-content/themes/taisa v1.0/
No es de extrañar pfffff
enero 2, 2012 a las 3:37 pm
Estos tipos de RP se parecen a los de Ocean Marketing… Yo opino que deberías exponer las fallas para que terminen arrodillándose los de Santander.
Una pena que las “empresas” dedicadas a esto en Chile estén a cargo de marcas tan grandes, y sean tan poco profesionales…
enero 2, 2012 a las 3:51 pm
Estamos a años luz en temas de seguridad aca en chile.
enero 3, 2012 a las 8:48 am
Pablo_el_asikalo_Neruda: Misteriosamente ya no puedes ver las boletas electronicas de Falabella
enero 3, 2012 a las 8:59 pm
Gracias, excelente trabajo, eso demuestra que para trabajar en seguridad necesitas quemar pestañas, no solo un titulo en la chile.
enero 4, 2012 a las 7:57 am
jajajaj Zerial deja de hacerle la pega a los wns de seguridad jajajajajajja
julio 22, 2015 a las 3:06 pm
Gracias por darnos a conocer estas desagradables situaciones para los consumidores. Para tener muy en cuenta a la hora de elegir un banco.
Un saludo,
Ernesto