Etiquetaservipag

Servipag viola las políticas de privacidad y expone datos sensibles de sus clientes y transacciones

Nuevamente en la mira el portal de pagos “más seguro” de chile, Servipag.com. Ayer durante el día en el twitter de Servipag, @ServipagOnline, publicaron una frase que me llamó la atención, en la que le decian a sus followers o clientes que todos sus datos y transacciones estaban correctamente asegurados ya que utilizan la tecnología SSL

Lo unico que hace Servipag con este comentario es generar una falsa sensación de seguridad, les voy a decir por qué …

Seguir leyendo

Nueva vulnerabilidad Cross-Site Scripting afecta a Servipag.com

Muchas vulnerabilidades han afectado ya a este portal de pagos, las cuales han sido corregidas proactiva y reactivamente. Tambien ha dado que hablar el alto estandar de seguridad que dicen tener. Por ejemplo, se dieron a conocer vulnerabilidades Cross-Site Scripting en dos oportunidades y tambien una falla de seguridad categorizada como “Local File Include”.

Posteriormente se demostró que Servipag estaba exponiendo los datos de los usuarios que usaban el portal para realizar pagos, mediante el acceso sin restriccion a los comprobantes de pagos. Solo bastaba con modificar en la URL el “id” correspondiente al comprobante.

Actualmente el portal continua con algunos problemas de seguridad, he descubierto un nuevo Cross-Site Scripting que podría ser utilizado por un atacante para robar información o suplantar identidad (phishing).

Seguir leyendo

Vulnerabilidades CSRF + XSS afectan a Servipag

Esta vez la vulnerabilidad afecta al sitio de Servipag Empresas, permitiendo realizar ataques del tipo CSRF+XSS, es decir, incrustar código html/javascript y realizar peticiones desde sitios remotos. La vulnerabilidad se encuentra en el formulario para iniciar sesión que al momento de realizar la validación, si el usuario o clave no existen o están incorrectos, muestra una alerta al usuario

El formulario de login envia un POST a servipagempresas.cl/Servipag/SES_ControlAcceso.asp pasando las variables ACC=ND&IdColumna=&IdComunidad=2&IdNoticia=&LoginEmpresa=empresa_prueba&login=empresa_prueba&password=1, cuando se envian datos incorrectos, SES_ControlAcceso.asp nos devuelve a la URL servipagempresas.cl/Servipag/acceso.asp pasando por GET el mensaje de error, el cual podemos manipular.

Seguir leyendo

Servipag: Nuevamente vulnerable a Cross-Site Scripting

Así es, el portal chileno de pagos en línea más seguro nuevamente es vulnerable a XSS. Esta vez se trata de la página de registro de usuarios, modificando el valor de la variable “Rut” es posible inyectar código javascript y poner en riesgo al usuario.

El sitio web de Servipag se ha caracterizado ultimamente por tener una serie de vulnerabilidades criticas que afectan al servidor donde se encuentra el sitio web y tambien a los usuarios, poniendo en riesgo información sensible sobre sus clientes. Según una declaración de Servipag mediante su twitter, los “XSS visual” no afectan al usuario:

Como a ellos no les preocupan los XSS, publicaré con detalles la vulnerabilidad.

Seguir leyendo

Servipag: Continua siendo un portal de pagos inseguro

Pasa el tiempo y, luego de haber reportado las vulnerabilidades que afectaban a Servipag, siguen apareciendo nuevas vulnerabilidades que afectan al portal de pagos. Esta vez se trata de 2 nuevas vulnerabilidades, una reportada en Secureless, que atenta contra la privacidad de los usuarios, permitiendo que cualquier persona pueda acceder a los comprobantes de pago de cada cliente, simplemente moficiando una variable en la URL, la segunda se trata de un XSS en el mismo sitio del comprobante de pago.

Servipag continua diciendo que sus politicas y tecnologías de seguridad son en base a altos estandares nacionales e internacionales y segun ellos, las vulnerabilidades que existen no ponen en riesgo la informacion de los usuarios, ya que todo el proceso de compra/pago y transaccion no se hacen directamente en los servidores de ellos … PERO, sorpresa, ellos guardan un comprobante de pago de forma local, pudiendo acceder a TODOS los comprobantes de pagos de quienes usen el servicio, sean o no usuarios registrados.

Que tipo de información podemos ver aqui?

1. Se refiere al “cliente” como “Usuario”, lo mas probable que no esté registrado en servipag, de lo contrario mostraría el nombre.
2. El banco mediante el cual se hace el pago.
3. Empresa o servicio que se paga.
4. Monto, fecha y ID del pago realizado.

Con esta información es posible relacionar a personas con un banco especifico y ademas con el consumo de un servicio, en una fecha especifica. Esta información podría ser útil para enviarle una trampa al usuario, un correo fake (phishing) con datos reales como su nombre, banco al que pertenece, servicios que consume, fechas en las que hace el pago … en fin, una serie de información que nadie tendría que saber.

Seguir leyendo

Análisis de seguridad: Servipag vs Sencillito vs MisCuentas

Ya muchos leyeron mi post anterior sobre la seguridad del servicio que ofrece Servipag, la idea de este nuevo artículo es hacer un tipo de benchmark de seguridad entre los tres principales servicios de pagos de cuentas online: Servipag, Sencillito y MisCuentas.

Analizaré las validaciones que hacen estos servicios, que tan vulnerables a ataques de robo de información, suplantación de identidad o que tan seguros son sus procesos, con el objetivo de dejar al descubierto la falta de seguridad y de validaciones al momento de hacer peticiones entre sitios, validacion de tokens de seguridad, uso de captchas para evitar a los bots, etc.

El análisis consiste en:

  • Security Tokens: Revisar que los servicios que ofrecen cada sitio web cuenta con los tokens de seguridad en sus formularios, para evitar pecitiones POST o GET desde sitios externos.
  • Captcha: Es el mecanismo más usado para determinar si quien está enviando la petición es un humano y no un bot. Ayuda contra los ataques de fuerza bruta.
  • Passwords cifradas: Verificar que la password de los usuarios se almacene cifrada en la base de datos.
  • Uso de certificados SSL en sus transacciones.

Y los resultados son alarmantes…

  1. Servipag: Passwords sin cifrar, permite el tráfico sin http seguro, no usa tokens de seguridad en sus formularios, permite realizar peticiones desde sitios/formularios falsos, no usa captcha.
  2. Sencillito: Al no requerir registro de usuario se libera de todas las criticas, este servicio es el mas sencillo y el más seguro
  3. MisCuentas: Passwords cifrados, tiene un buen mecanismo de recuperacion de contraseña, las transacciones se realizan mediante HTTP seguro, no usa tokens de seguridad y tampoco utiliza captcha, permitiendo peticiones desde sitios/formularios falsos.

Para leer el detalle del análisis, continua leyendo el artículo.

Seguir leyendo