Me llegó un correo informandome de una vulneraiblidad critica que afecta al Banco Estado, especificamente a la plataforma movil del banco estado. Se trata de la divulgación de un log de transacciones ubicado en los servidores del Banco, accesible libremente por cualquier usuarios. El log no se encontraba protegido bajo ningun mecanismo de seguridad y la información que exponía es increible.
La información expuesta en este archivo corresponde a nombre de la persona que está realizando la transferencia, nombre del destinatario, email del destinatario, cuenta de origen y destino, montos asociados a la cuenta, información de la tarjeta de coordenadas y además, la password que utiliza el usuario para ingresar al portal. Todo esto debería estar cifrado, ya que utilizan SSL para las peticiones, pero en este log aparecía todo en plano. No tiene sentido que cifren el trafico para prevenir sniffeos y robos de datos en las redes si exponen todo el trafico en tiempo real en texto plano. Es como no usar SSL.
Comentarios recientes