El rincón de Zerial

Informática, GNU/Linux, Seguridad, Hacking, Programación, Ocio

Mostrar menú Ocultar menú

Vulnerabilidad en las cuentas PAC/PAT y reacciones del Santander

diciembre 30, 2011 /
Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Vulnerabilidad en las cuentas PAC/PAT y reacciones del Santander" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

Despues del ultimo post relacionado con la vulnerabilidad que permitia acceder al código fuente del sistema, hubo distintos tipos de reacciones por parte de los usuarios y de las empresas involucradas.

Otras vulnerabilidades comenzaron a ver la luz, como por ejemplo la que afecta al sistema de asignación/modificación de los pagos automaticos de cuentas (pat/pac), que permite asignar pagos automaticos a terceras personas, sin previa confirmación. De esta forma, Juanito Perez, puede asignar el pago automatico de la cuenta de luz, agua, movil u otro a Pedrito, sin su autorización.

Varias personas se contactaron conmigo y me comentaban que habian enviado un reclamo a su ejecutivo de cuentas, para tener una respuesta formal y seria respecto a estas vulnerabilidades reportadas. Una de ella me llamo la atención, corresponde a @Van_ultraviolet, que le respondieron:

  • Es una persona que necesita mucha atención, por eso hace esto.
  • Cualquier persona puede acceder al código fuente.
  • Revisamos las alertas del pseudo-hacker y no son reales.

Pueden ver a respuesta completa aca: https://twitter.theinfo.org/152376559511142400

Considero que esto es impresentable y que la persona que entregó esa respuesta debería pensar seriamente en dejar de ejercer su profesión.

Por otro lado, una de las empresas responsables se contactó conmigo y hemos creado un canal de comunicación para el reporte de vulnerabilidades. Ellos admitieron el fallo del Source Code Disclosure y tambien la vulnerabilidad PAT/PAC, indicando que ya está corregida en su entorno de desarrollo, sólo falta ponerla en producción.

El banco no ha respondido publicamente sobre el asunto, el “canal web” y el llamado “Community Manager” que maneja la cuenta de Twitter (@SantanderChile), tampoco se pronuncia al respecto, apesar de las insistentes quejas y reclamos de sus clientes.

Como conclusión, hay 3 empresas involucradas:

  1. Santander: La entidad afectada, el Banco.
  2. TAISA Chile: Una de las empresas involucrada en el desarrollo del sistema.
  3. NEOSECURE: Segun los comentarios del post anterior y segun la información que me llegaba por correo, twitter, etc, es la empresa que ve la “seguridad” del Banco, es decir, es la “empresa lider en seguridad informatica” que audita periodicamente los sistemas del santander, según ellos; Aviso de seguridad Santander.

De estas tres empresas involucradas, la uinca que se ha hecho responsable y ha dado la cara, es TAISA, quien ha reaccionado bastante bien, agradecida y con ganas de crear un canal de comunicación para este tipo de incidentes. Ademas, han reaccionado bastante rapido despues de que se hizo la publicación.

Ustedes juzguen.

Información Importante Sobre el Contenido

Estas accediendo al contenido antiguo del blog. Este artículo "Vulnerabilidad en las cuentas PAC/PAT y reacciones del Santander" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.

Categorías: Hacking, Interes general, Seguridad, Sitios Vulnerables

Etiquetas: , , , , ,

« Acceso al codigo fuente del Banco Santander Chile Problemas de seguridad en Transvip »

16 comentarios

  1. Carlos Jaramillo O.

    diciembre 30, 2011 a las 10:14 am

    Excelente trabajo serial, esperemos que solucionen todos estos problemas ya que somos muchos los clientes de ese banco, y que se hagan responsable y que sean consecuente con decir que son los mas seguros y que se preocupan por la seguridad de sus clientes. Saludos.

  2. Enrique

    diciembre 30, 2011 a las 10:54 am

    gracias por hacer publica esta informacion, es la mejor manera de aprender de como nos cagan, porque, el negocio de los seguros obviamente… (modo conspiracion encendido)

  3. Pablo_el_asikalo_Neruda

    diciembre 30, 2011 a las 6:15 pm

    off topic: oye zerial, investigate esta, falabella compras por internet, no es tan grave pero te generar una boleta con el detalle de tu compra y es cosa de cambiar el ultimo numero y ver las boletas de otra gente ej:

    lo primero que se vendio por internet XD
    http://dte.falabella.com/prtdtefapr/generaDocumento2.do?prm=1:77261280:39::1

    http://dte.falabella.com/prtdtefapr/generaDocumento2.do?prm=1:77261280:39::235464190

    etc, fácil te armas una bd con los gustos y preferencias de los clientes, no se tanto sql injection u otras técnicas pero me huele a azufre!!!

  4. Erwin

    diciembre 30, 2011 a las 7:54 pm

    ¡Jajaja! ‘cualquier persona puede’ imagino que creía que estabas haciendo clic secundario y presionando ver código fuente.

    Excelente trabajo.

  5. chantaattack

    enero 1, 2012 a las 2:32 am

    En consulta pac se puede llegar a ver lo que otros clientes han pagado y con respecto a que servicio

  6. exploit-shell

    enero 1, 2012 a las 12:26 pm

    Chanta attack eso es un falso posito

  7. chantaattack

    enero 1, 2012 a las 8:35 pm

    Exploit-shell no es asi. Lo que sucede es que los campos cta cte y numero de mandato estan de adorno. Pero el campo identificador de servicio si es modificable. Si comienzas a bajarlo, porque es correlativo, veras de pronto que comienzan a bajar los valores.

    Con esto puedes automatizar para saber cuando cobra santander en cada pac en el tiempo para todos sus clientes.

  8. V

    enero 2, 2012 a las 12:13 pm

    Impresentable, es todo lo que puedo decir.

  9. SaturoS

    enero 2, 2012 a las 2:38 pm

    Tambien se puede hacer xss en los mensajes de error y abrir otras webs.

    Además de modificar el mensaje de error y el contenido de la web, agregando botones personalizados, redireccionando a cualquier web.

    Podrias probarlo =P

  11. Dilip

    enero 2, 2012 a las 3:37 pm

    Estos tipos de RP se parecen a los de Ocean Marketing… Yo opino que deberías exponer las fallas para que terminen arrodillándose los de Santander.

    Una pena que las “empresas” dedicadas a esto en Chile estén a cargo de marcas tan grandes, y sean tan poco profesionales…

  12. Sonyx

    enero 2, 2012 a las 3:51 pm

    Estamos a años luz en temas de seguridad aca en chile.

  13. Zerial

    enero 3, 2012 a las 8:48 am

    Pablo_el_asikalo_Neruda: Misteriosamente ya no puedes ver las boletas electronicas de Falabella

  14. Rodri

    enero 3, 2012 a las 8:59 pm

    Gracias, excelente trabajo, eso demuestra que para trabajar en seguridad necesitas quemar pestañas, no solo un titulo en la chile.

  15. Gigabit

    enero 4, 2012 a las 7:57 am

    jajajaj Zerial deja de hacerle la pega a los wns de seguridad jajajajajajja

  16. reclamos contra banco

    julio 22, 2015 a las 3:06 pm

    Gracias por darnos a conocer estas desagradables situaciones para los consumidores. Para tener muy en cuenta a la hora de elegir un banco.
    Un saludo,
    Ernesto

3 Pingbacks

  1. Pingback: Acceso al codigo fuente del Banco Santander Chile « ..:: Liarjo of Locksley ::..
  2. Pingback: Estrategia del Santander en Social Media: Servicio en Twitter, Branded Content en Facebook, Cocreación « Bancalaire
  3. Pingback: Para aprender: Banco Santander España estrena estrategia en Social Media | ebanking.cl

Los comentarios están cerrados.

© 2024 El rincón de Zerial

Tema por Anders NorénSubir ↑