Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

Grave problema de seguridad en Uno-e

Acabo de encontrarme con esto en lo que era la web de !Hispahack:

Analizando la banca-online, UNO-E.

Uno-e, es uno de los principales bancos Españoles que operan en Internet, con más de 140.000 clientes forma parte del Grupo BBVA y Terra Networks. Como cliente de dicha entidad les voy a hacer participes de un pequeño análisis que realice hace unos días y que expongo seguidamente en este articulo/denuncia. Este es un análisis objetivo de una problemática generalizada, y es justamente ahora cuando deberían estar más tranquilos los clientes como yo de dicha entidad.

Análisis:

1.- Una vez accedo al banco www.uno-e.com con mi "Usuario" y "Contraseña", me doy cuenta de que tengo asignado un identificador (USER_ID) que es el mismo en cada sesión. Cada uno de los clientes de UNO-E tienen asignado uno y advierto que puedo variar mi identificativo (USER_ID) por otro aleatorio (secuencial), y interactuar como el usuario del mismo como si del mío propio se tratase. En este caso como vemos en la imagen, vario mi id por uno aleatorio 125377.

2.- Y como vemos ahora en esta imagen, la pantalla principal "Mi Cartera", me muestra la información correspondiente al cliente asociado a dicho id, sus cuentas, su saldo, etc.

3.- Interactuando como si de mi usuario se tratara puedo ver los contratos, titulares de los mismos, cuentas, movimientos de las cuentas, tarjetas de crédito asociadas, movimientos de las tarjetas...etc, lo que puede suponer tener acceso a datos de carácter personal de nivel alto. Esto hace, que este grave fallo de diseño de la aplicación tenga notadas consecuencias al atentar seriamente contra la privacidad de los clientes de la entidad.

... el articulo sigue en www.mentes.org o hispahack.ccc.de, hay rumores de que S21Sec lleva la seguridad del BBV y/o Uno-e.

P4k0

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    Seguradad?

    Con esto, queda claro que de momento, la banca informatica no es segura.

    Nos intentan liar con el protocolo ssl, de momento indescifrable, pero son incapaces de diseñar una web segura a la primera.

    Es esvidente que la informatica es asi, y en mi identificacion de usuario de media-vida, o de esta web estoy dispuesto a correr el riesgo, pero en algo tan serio como las cuentas bancarias se deberia tener un poco mas de cuidado, no creeis?

    A ver si el gobierno hace algo a derechas (bueno, creo que a derechas ya hace muchas cosas), y el lugar de limitar la transferencia de datos desde los usuarios de adls, se preocupan mas de la actuacion de las grandes empresas.

    • Cerrado

      Evidentemente es un fallo de seguridad, no cabe duda. Se…

      Evidentemente es un fallo de seguridad, no cabe duda. Se muestra información confidencial de los clientes. Sin embargo no es tan grave como pueda parecer.

      Para realizar cualquier operación con uno-e es necesario conocer la clave operativa del usuario y mediante este sistema no hay manera de obtenerla.

      Por otro lado en caso de conseguir hacer algo, aunque sólo sea ver las cuentas de otro usuario, los de uno-e tendrán tu acceso registrado y a no ser que por algún motivo nadie mire (o no se fije) en los logs.

      Por otro lado parece que el problema ya está resuelto, al menos a mi no me ha dejado cambiar el userid.

      Como nota final, me gustaría que el que dice que puede desencriptar https en tiempo real nos haga una demostración pormenorizada, por que me temo que lo único que ve son streams encriptados con claves asimétricas de 128 bits. Es posible desencriptarlas pero hace falta bastante tiempo.

        • Cerrado

          Tienes razón, si se muestra información sobre la Visa…

          Tienes razón, si se muestra información sobre la Visa cuanquier comericio aceptará el pago dado que además del número conoces la fecha de caducidad y el titular. No es definitivo porque siempre tienes opción de cancelar el pago, si es que te das cuenta, pero es una putada.

          Lo de la ingeniería social no lo pillo. Llamando al uno-e y solicitando transferencias por teléfono, por ejemplo, te piden las claves, ni siquiera los operadores pueden realizar una operación sin tus claves. Si no las conoces te las reenvian por correo y cuando las tienes vuelves a llamar.

          Y no, no trabajo en uno-e, pero tengo allí la pasta y en cuanto he leido el mensaje me he preocupado. Por eso matizo que no es tan grave, y lo digo porque podría haber sido muchísimo peor.

          • Cerrado

            BocaDePez BocaDePez
            0
            Por ejemplo si el tío este hubiera sido “malo” tiene tu…

            Por ejemplo si el tío este hubiera sido “malo” tiene tu correo como cliente ya que en el apartado buzón sale tal cual, te envía un mail como uno-e ya que el from: se puede modificar fácilmente, y te dice que en la próxima operación llame a X numero de teléfono que le atenderá un operador de UNO-E para realizar la operación, que pasa entonces? Entiendes que es la ingeniería social? Muchos picarían y el tío conectado al mismo tiempo pues operaria fácilmente timando al cliente.

            Y a demas ver los movimientos de las tarjetas de credito supone por ejemplo que si compras en un sexhop gay, aparezcan datos de caracter privado catalogados como altos asi que grave lo es. Tecnicamente petetico, pero de consecuencias GRAVES.

            :)

            • Cerrado

              Mi dirección de correo es un dato publico, lo conoce…

              Mi dirección de correo es un dato publico, lo conoce muchísima gente, cualquiera puede enviarme un correo de parte de uno-e diciendome que el teléfono ha cambiado. El fallo de seguridad por tanto no altera esa situación.

              Con respecto a la lista de compras y lo del sex shop. Tienes razón, pero en eso estoy de acuerdo desde el principio. Pueden acceder a datos privados, tus hábitos, tus compras o tu dinero, supongo que el que tenga una cantidad mostruosa de pasta no le hará mucha ilusión que se sepa.

              De todas formas, y para no alargar el hilo, la intención de mi primer mensaje es aportar el contrapunto. La noticia cuenta todo lo que se puede hacer, pero no cuenta lo que NO se puede hacer, y entre las cosas que el bug no permite está transferir pasta de forma transparente. En este tipo de casos suele magnificarse el problema, yo diría que es algo así como el morbo informático. Yo ni le quito ni le aporto gravedad, pero conviene que se sepa lo que realmente sucede.

              • Cerrado

                BocaDePez BocaDePez
                0
                Con ingenierie social y con TODOS los datos del cliente,…

                Con ingenierie social y con TODOS los datos del cliente, evidentemente que se podrian haber realizado transferenciaas!!! leetelo mejor.

                • Cerrado

                  Ya salio el bobo de turno, interesante argumento. No soy…

                  Ya salio el bobo de turno, interesante argumento.

                  No soy tonto, se lo que digo. Con las tres peceactuales que te has leido y la información del bug ya estás preparado para hacer el asalto a los grandes bancos. Adelante, a ver que tal te sale.

                  • Cerrado

                    tio, me parece increible eso que dices que no te parece un…

                    tio, me parece increible eso que dices que no te parece un error tan grave.

                    vamos!, el error, fallo, cagada, pete,etc,etc, es de magnas proporciones. yo me entero que mi banco online acaba de tener una cagada asi y en el minuto 1 estoy sacando mi dinero de alli.

                    para empezar me parece que esta tirado que el tio se hubiera aprovechado de la situación para timar a alguien (se me ocurren 1.815 formas , asi del tiron). Para seguir, el mero hecho de que alguien pueda entrar a mi información PRIVADA es absolutamente la ostia, y que sepas que es independiente de si a ti te no te parece tan malo. Y si no te parece tan grave hazlo y deja que te pillen, y dile al juez "buehh, tio, tampoco es tan grave", ya verás como te pone el culo, te deja mirando a albacete.

              • Cerrado

                BocaDePez BocaDePez
                0
                Hombre pero si llamas a ese numero y no saben quien eres mal,…

                Hombre pero si llamas a ese numero y no saben quien eres mal, en cambio con todos los datos, pueden hacerte creer que validan el dni...etc, tio, eres muy inocente si no ves el problema. chao

                • Cerrado

                  No, no soy inocente, precisamente por eso te insisto que si…

                  No, no soy inocente, precisamente por eso te insisto que si recibo un correo de uno-e a mi dirección informandome de un cambio de número de teléfono, lo primero que hago es desconfiar y comprobarlo.

                  Te repito que mi dirección de correo es pública y que precisamente por eso me fio muy poco de lo que alli pueda llegar, cualquiera puede suplantar a uno-e, haya visto mis cuentas o no. Y como precisamente inocente no soy dudo mucho que llamara a ningún sitio.

                  De todas formas veo que por mucho que insista no comprendes el mensaje y que para ti, es un error de seguridad con el que pueden desplumarte en un momento y transferir las facturas de Al qaeda a tu normbre. Pues nada, no tengo mayor interés en convencerte.

                  • Cerrado

                    BocaDePez BocaDePez
                    0
                    JODER DEJA LO DEL CORREO, PUES TE LLAMA UNA NIÑA DE 17 AÑOS…

                    JODER DEJA LO DEL CORREO, PUES TE LLAMA UNA NIÑA DE 17 AÑOS HACIENDOSE PASAR POR UNA OPERADORA, CON TODOS TUS DATOS, ES USTED EL SR.TAL... CON D.N.I. TAL, ..ETC..ETC LE INFORMAMOS QUE POR PROBLEMAS TECNICOS SUS SUCESIVAS OPERACIONES CON NUESTRA ENTIDAD LAS REALICE ATREVES DEL NUMERO DE ATENCION AL CLIENTE TAL..TAL..TAL... JODER TIO, ESPRIMETE LAS NEURONAS UN POCO!

                    BYE!

                    • Cerrado

                      Y tú, que debes ser también un poco corto, le haces caso.…

                      Y tú, que debes ser también un poco corto, le haces caso. Otro experto en seguridad!! Como te atreves a dar consejos siendo tan ingenuo?

                      Me parece que el que debería de pensar un poco eres tú. Empieza por leer el hilo, es dificil no decir bobadas si no se sabe de qué se habla, sobre todo cuando uno tiene una tendencia innata.

                      No me hace gracia repetir algo que se puede leer con darle un poco para arriba a la barrita que tienes a la derecha de tu explorador. Pero bueno, lo que he dicho es que "no es tan grave" (n. t.: del post original, mover barrita) porque todo lo que hagas, lo haces en tu sesión y porque no puedes hacer operaciones sin las claves. Por otro lado reconozco lo de la visa (del segundo post, esta vez hay que mover la barrita para abajo) y finalmente pongo en duda lo de la ingeniería social porque no me parece tan evidente, ni lo del correo, ni lo de la niña de 17 años. No parece muy dificil de entender, aunque la verdad me estais asombrando con tanta limitación cerebral.

                      • Cerrado

                        BocaDePez BocaDePez
                        0
                        Cuando son muchos que ven la problematica y tu el unico que…

                        Cuando son muchos que ven la problematica y tu el unico que no la entiende, no seras tu el corto? busca sobre ingenieria social y lo que se puede llegar a hacer con ella, por ejemplo Kevin Mitnick... o el articulo de Lestes The Teacher sobre ig.social.

                        Si se sigue cayendo con el timo de la estampita, con algo asi la gente cae y seguro que tal como demuestras con tu inteligencia al no ver el problema tu serias el primero.

                        • Cerrado

                          No se qué te lleva a la erronea suposición de que no se lo…

                          No se qué te lleva a la erronea suposición de que no se lo que es la ingeniería social. Me parece que estás cayendo en los prejuicios, me recomiendas lecturas y no tienes ni idea de lo que se o lo que no se.

                          La ingeniería social es la picaresca tradicional llevada al hacking. No hace falta un bug en uno-e para engañar a la gente, la gente es fácil de engañar, tanto que hasta mismo uno-e lo consigue sin recurrir a la ilegalidad, aprovechando tan solo la falta de información o la incultura popular.

                          Vuelvo al tema. Hay bugs leves, medianos, graves, criticos, catastroficos, etc. Con este bug del uno-e, la mecanica para obtener pasta del projimo no es informar la cantidad en un campo de texto y darle a transferir.

                          Te toca... XD

                          • Cerrado

                            BocaDePez BocaDePez
                            0
                            tienes la visa, y te facilitat todos los datos del tio para…

                            tienes la visa, y te facilitat todos los datos del tio para timarle luego... claro, que eso no es un fallo, el que permita obtener todos esos datos para que luego terceros te llamen haciendose pasar por la entidad y te dejen a cero. Tio piensan o usas en cerebro de posa vasos fashion?

                            • Cerrado

                              Me parece que ya no sabes ni de qué hablas. Vuelves a lo de…

                              Me parece que ya no sabes ni de qué hablas.

                              Vuelves a lo de la visa, asunto del que ya hemos hablado. Luego retomas lo de la ingeniería social de lo que también hemos hablado. Y depues, como ya no sabes que mas chorradas decir, parece que insinuas que en algún momento yo he dicho que no es un fallo cuando no es así.

                              Es un feo recurso poner en boca de otros cosas que no dice para poder argumentar algo. O es un feo recurso, o no has leido con la atención debida o tienes un problema de concentración en la lectura, no sabes muy bien de qué hablamos y pierdes el hilo.

      • Cerrado

        Te desafio a que desencriptes uno solo de los paquetes SSL…

        Te desafio a que desencriptes uno solo de los paquetes SSL que circulen por una intranet... EN TIEMPO REAL.. Que una cosa son los desafios con semanas y meses de fuerza bruta y otra el crackeo on-line.

        • Cerrado

          que cualquiera haciendo m-i-t-m con programas que vienen de…

          que cualquiera haciendo m-i-t-m con programas que vienen de serie con muchas distros de linux y ademas estan disponibles como el ettercap, puedes ver todo el trafico ssl de toda la gente conectada a tu nodo transparentemente.

          Lo triste es que la gran mayoria de las paginas web de teletienda e incluso bancos siguen usandolo principalmente.

          Un saludo.

          • Cerrado

            Cuentame como lo haces, pq no hay mandera de ver lo que hay…

            Cuentame como lo haces, pq no hay mandera de ver lo que hay "dentro" del paquete... Evidentemente el paquete lo ves, sino no podría llegar a destino, otra historia es que puedas desencriptar lo que hay dentro (solo se podría hacer si capturas los certificados que se intercambian y la clave simétrica), cosita mu chunga por otro lado.

            Y me gustaría que nos enseñases los métodos más seguros que, según tu, pueden sustituir al SSL... Y que no sean variantes de él. Porque NO HAY NINGUNO QUE SE PUEDA USAR AHORA MISMO desde los navegadores, por tanto TODOS los sitios seguros siguen usando SSL.

            Saludos... Y lee más.

  • Cerrado

    Seguro k los soplapollas de la comision POTO ya tienen la solucion

    Como son unos putos negaos y unos gilipollas, ellos y sus amigüitos que kieren convertir internet en un PUTO TELETIENDA y ni siquiera saben hacer eso bien la solucion es:

    Prohibido revelar sus numerosos fallos de seguridad, y a partir de ahora solo podrá estudiar informatica la élite capitalista. A los demas con saber pulsar el acceso directo a AMAZON.COM (por ejemplo) ya nos vale

    • Cerrado

      BocaDePez BocaDePez
      0

      Seguro que un fpero de esos que programan en asp ha sido el…

      Seguro que un fpero de esos que programan en asp ha sido el encargado de esta chapuza...asi nos luce el pelo. I.Informaticos al poder!

      • Cerrado

        BocaDePez BocaDePez
        0

        ¿De qué te vale ser Ingeniero si eres un atontao? Suerte que…

        ¿De qué te vale ser Ingeniero si eres un atontao? Suerte que no todos los ingenieros son como tú, aunque hay tantos que sí lo son que... "así nos luce el pelo"

      • Cerrado

        BocaDePez BocaDePez
        0

        no tienen otro remedio, esta hecho ante notario, si no fuera…

        no tienen otro remedio, esta hecho ante notario, si no fuera asi, seguro que lo arreglan y luego se lo follan por difamacion o lo que sea, lo que el tio ha estado listo. Ole sus huevos!

        • Cerrado

          Y si encima le da un regalito al "hacker" pues mejor. Es hora…

          Y si encima le da un regalito al "hacker" pues mejor.

          Es hora de que las grandes empresas vayan reconociendo y enmendando sus errores

    • Cerrado

      BocaDePez BocaDePez
      0

      reconocer los errores es una virtud de las que muchos carecen

      reconocer los errores es una virtud de las que muchos carecen

  • Cerrado

    BocaDePez BocaDePez
    12

    Eso no es cierto

    A mi no me pasa, yo cambio el USER_ID por el que dices y no pasa, o por otro cualquiera.

    Siempre aparecen mis movimientos, cuentas y tarjetas por mucho que cambie el USER_ID. Como debe de ser, por otra parte.

    Creo que en este caso quien queda de listo es el que hace estas afirmaciones.

    • Cerrado

      BocaDePez BocaDePez
      12

      Si sabes leer el notario a da fe de ello y ha llevado toda la…

      Si sabes leer el notario a da fe de ello y ha llevado toda la noche de hoy caido uno-e posiblemente lo hayan arreglado urgentemente.

      chao!

1