Vulnerabilidad en las cuentas PAC/PAT y reacciones del Santander

Despues del ultimo post relacionado con la vulnerabilidad que permitia acceder al código fuente del sistema, hubo distintos tipos de reacciones por parte de los usuarios y de las empresas involucradas.

Otras vulnerabilidades comenzaron a ver la luz, como por ejemplo la que afecta al sistema de asignación/modificación de los pagos automaticos de cuentas (pat/pac), que permite asignar pagos automaticos a terceras personas, sin previa confirmación. De esta forma, Juanito Perez, puede asignar el pago automatico de la cuenta de luz, agua, movil u otro a Pedrito, sin su autorización.

Varias personas se contactaron conmigo y me comentaban que habian enviado un reclamo a su ejecutivo de cuentas, para tener una respuesta formal y seria respecto a estas vulnerabilidades reportadas. Una de ella me llamo la atención, corresponde a @Van_ultraviolet, que le respondieron:

  • Es una persona que necesita mucha atención, por eso hace esto.
  • Cualquier persona puede acceder al código fuente.
  • Revisamos las alertas del pseudo-hacker y no son reales.

Pueden ver a respuesta completa aca: https://twitter.theinfo.org/152376559511142400

Considero que esto es impresentable y que la persona que entregó esa respuesta debería pensar seriamente en dejar de ejercer su profesión.

Por otro lado, una de las empresas responsables se contactó conmigo y hemos creado un canal de comunicación para el reporte de vulnerabilidades. Ellos admitieron el fallo del Source Code Disclosure y tambien la vulnerabilidad PAT/PAC, indicando que ya está corregida en su entorno de desarrollo, sólo falta ponerla en producción.

El banco no ha respondido publicamente sobre el asunto, el “canal web” y el llamado “Community Manager” que maneja la cuenta de Twitter (@SantanderChile), tampoco se pronuncia al respecto, apesar de las insistentes quejas y reclamos de sus clientes.

Como conclusión, hay 3 empresas involucradas:

  1. Santander: La entidad afectada, el Banco.
  2. TAISA Chile: Una de las empresas involucrada en el desarrollo del sistema.
  3. NEOSECURE: Segun los comentarios del post anterior y segun la información que me llegaba por correo, twitter, etc, es la empresa que ve la “seguridad” del Banco, es decir, es la “empresa lider en seguridad informatica” que audita periodicamente los sistemas del santander, según ellos; Aviso de seguridad Santander.

De estas tres empresas involucradas, la uinca que se ha hecho responsable y ha dado la cara, es TAISA, quien ha reaccionado bastante bien, agradecida y con ganas de crear un canal de comunicación para este tipo de incidentes. Ademas, han reaccionado bastante rapido despues de que se hizo la publicación.

Ustedes juzguen.

16 comentarios

  1. Carlos Jaramillo O.

    diciembre 30, 2011 a las 10:14 am

    Excelente trabajo serial, esperemos que solucionen todos estos problemas ya que somos muchos los clientes de ese banco, y que se hagan responsable y que sean consecuente con decir que son los mas seguros y que se preocupan por la seguridad de sus clientes. Saludos.

  2. gracias por hacer publica esta informacion, es la mejor manera de aprender de como nos cagan, porque, el negocio de los seguros obviamente… (modo conspiracion encendido)

  3. Pablo_el_asikalo_Neruda

    diciembre 30, 2011 a las 6:15 pm

    off topic: oye zerial, investigate esta, falabella compras por internet, no es tan grave pero te generar una boleta con el detalle de tu compra y es cosa de cambiar el ultimo numero y ver las boletas de otra gente ej:

    lo primero que se vendio por internet XD
    http://dte.falabella.com/prtdtefapr/generaDocumento2.do?prm=1:77261280:39::1

    http://dte.falabella.com/prtdtefapr/generaDocumento2.do?prm=1:77261280:39::235464190

    etc, fácil te armas una bd con los gustos y preferencias de los clientes, no se tanto sql injection u otras técnicas pero me huele a azufre!!!

  4. ¡Jajaja! ‘cualquier persona puede’ imagino que creía que estabas haciendo clic secundario y presionando ver código fuente.

    Excelente trabajo.

  5. En consulta pac se puede llegar a ver lo que otros clientes han pagado y con respecto a que servicio

  6. Chanta attack eso es un falso posito

  7. Exploit-shell no es asi. Lo que sucede es que los campos cta cte y numero de mandato estan de adorno. Pero el campo identificador de servicio si es modificable. Si comienzas a bajarlo, porque es correlativo, veras de pronto que comienzan a bajar los valores.

    Con esto puedes automatizar para saber cuando cobra santander en cada pac en el tiempo para todos sus clientes.

  8. Impresentable, es todo lo que puedo decir.

  9. Tambien se puede hacer xss en los mensajes de error y abrir otras webs.

    Además de modificar el mensaje de error y el contenido de la web, agregando botones personalizados, redireccionando a cualquier web.

    Podrias probarlo =P

  10. Estos tipos de RP se parecen a los de Ocean Marketing… Yo opino que deberías exponer las fallas para que terminen arrodillándose los de Santander.

    Una pena que las “empresas” dedicadas a esto en Chile estén a cargo de marcas tan grandes, y sean tan poco profesionales…

  11. Estamos a años luz en temas de seguridad aca en chile.

  12. Pablo_el_asikalo_Neruda: Misteriosamente ya no puedes ver las boletas electronicas de Falabella

  13. Gracias, excelente trabajo, eso demuestra que para trabajar en seguridad necesitas quemar pestañas, no solo un titulo en la chile.

  14. jajajaj Zerial deja de hacerle la pega a los wns de seguridad jajajajajajja

  15. Gracias por darnos a conocer estas desagradables situaciones para los consumidores. Para tener muy en cuenta a la hora de elegir un banco.
    Un saludo,
    Ernesto

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.