📰 Artículos

Grave problema de seguridad en Uno-e

BocaDePez 23 mayo 2003 02:05

⋮

Acabo de encontrarme con esto en lo que era la web de !Hispahack:

Analizando la banca-online, UNO-E.

Uno-e, es uno de los principales bancos Españoles que operan en Internet, con más de 140.000 clientes forma parte del Grupo BBVA y Terra Networks. Como cliente de dicha entidad les voy a hacer participes de un pequeño análisis que realice hace unos días y que expongo seguidamente en este articulo/denuncia. Este es un análisis objetivo de una problemática generalizada, y es justamente ahora cuando deberían estar más tranquilos los clientes como yo de dicha entidad.

Análisis:

1.- Una vez accedo al banco bbva.es/personas.html con mi "Usuario" y "Contraseña", me doy cuenta de que tengo asignado un identificador (USER_ID) que es el mismo en cada sesión. Cada uno de los clientes de UNO-E tienen asignado uno y advierto que puedo variar mi identificativo (USER_ID) por otro aleatorio (secuencial), y interactuar como el usuario del mismo como si del mío propio se tratase. En este caso como vemos en la imagen, vario mi id por uno aleatorio 125377.

2.- Y como vemos ahora en esta imagen, la pantalla principal "Mi Cartera", me muestra la información correspondiente al cliente asociado a dicho id, sus cuentas, su saldo, etc.

3.- Interactuando como si de mi usuario se tratara puedo ver los contratos, titulares de los mismos, cuentas, movimientos de las cuentas, tarjetas de crédito asociadas, movimientos de las tarjetas...etc, lo que puede suponer tener acceso a datos de carácter personal de nivel alto. Esto hace, que este grave fallo de diseño de la aplicación tenga notadas consecuencias al atentar seriamente contra la privacidad de los clientes de la entidad.

... el articulo sigue en mentes.org o (link roto), hay rumores de que S21Sec lleva la seguridad del BBV y/o Uno-e.

P4k0

💬 Comentarios

Ojete 23 mayo 2003 02:10

⋮

Como son unos putos negaos y unos gilipollas, ellos y sus amigüitos que kieren convertir internet en un PUTO TELETIENDA y ni siquiera saben hacer eso bien la solucion es:

Prohibido revelar sus numerosos fallos de seguridad, y a partir de ahora solo podrá estudiar informatica la élite capitalista. A los demas con saber pulsar el acceso directo a AMAZON.COM (por ejemplo) ya nos vale

✖

BocaDePez 26 mayo 2003 07:03

⋮

Seguro que un fpero de esos que programan en asp ha sido el encargado de esta chapuza...asi nos luce el pelo. I.Informaticos al poder!

✖

henrygondorff 29 mayo 2003 00:11

⋮

¿De qué te vale ser Ingeniero si eres un atontao? Suerte que no todos los ingenieros son como tú, aunque hay tantos que sí lo son que... "así nos luce el pelo"

oestrymnio 23 mayo 2003 02:45

⋮

A mi no me pasa, yo cambio el USER_ID por el que dices y no pasa, o por otro cualquiera.

Siempre aparecen mis movimientos, cuentas y tarjetas por mucho que cambie el USER_ID. Como debe de ser, por otra parte.

Creo que en este caso quien queda de listo es el que hace estas afirmaciones.

✖

BocaDePez 23 mayo 2003 04:08

⋮

Si sabes leer el notario a da fe de ello y ha llevado toda la noche de hoy caido uno-e posiblemente lo hayan arreglado urgentemente.

chao!

mikimoto1 23 mayo 2003 07:04

⋮

Con esto, queda claro que de momento, la banca informatica no es segura.

Nos intentan liar con el protocolo ssl, de momento indescifrable, pero son incapaces de diseñar una web segura a la primera.

Es esvidente que la informatica es asi, y en mi identificacion de usuario de media-vida, o de esta web estoy dispuesto a correr el riesgo, pero en algo tan serio como las cuentas bancarias se deberia tener un poco mas de cuidado, no creeis?

A ver si el gobierno hace algo a derechas (bueno, creo que a derechas ya hace muchas cosas), y el lugar de limitar la transferencia de datos desde los usuarios de adls, se preocupan mas de la actuacion de las grandes empresas.

✖

CyNic 23 mayo 2003 13:48

⋮

✖

mikimoto1 23 mayo 2003 16:34

⋮

No veas

✖

Stendall1 23 mayo 2003 21:36

⋮

que cualquiera haciendo m-i-t-m con programas que vienen de serie con muchas distros de linux y ademas estan disponibles como el ettercap, puedes ver todo el trafico ssl de toda la gente conectada a tu nodo transparentemente.

Lo triste es que la gran mayoria de las paginas web de teletienda e incluso bancos siguen usandolo principalmente.

Un saludo.

✖

yoprogramo 24 mayo 2003 19:10

⋮

Cuentame como lo haces, pq no hay mandera de ver lo que hay "dentro" del paquete... Evidentemente el paquete lo ves, sino no podría llegar a destino, otra historia es que puedas desencriptar lo que hay dentro (solo se podría hacer si capturas los certificados que se intercambian y la clave simétrica), cosita mu chunga por otro lado.

Y me gustaría que nos enseñases los métodos más seguros que, según tu, pueden sustituir al SSL... Y que no sean variantes de él. Porque NO HAY NINGUNO QUE SE PUEDA USAR AHORA MISMO desde los navegadores, por tanto TODOS los sitios seguros siguen usando SSL.

Saludos... Y lee más.

yoprogramo 24 mayo 2003 19:12

⋮

Te desafio a que desencriptes uno solo de los paquetes SSL que circulen por una intranet... EN TIEMPO REAL.. Que una cosa son los desafios con semanas y meses de fuerza bruta y otra el crackeo on-line.

mac1929 26 mayo 2003 05:14

⋮

Evidentemente es un fallo de seguridad, no cabe duda. Se muestra información confidencial de los clientes. Sin embargo no es tan grave como pueda parecer.

Para realizar cualquier operación con uno-e es necesario conocer la clave operativa del usuario y mediante este sistema no hay manera de obtenerla.

Por otro lado en caso de conseguir hacer algo, aunque sólo sea ver las cuentas de otro usuario, los de uno-e tendrán tu acceso registrado y a no ser que por algún motivo nadie mire (o no se fije) en los logs.

Por otro lado parece que el problema ya está resuelto, al menos a mi no me ha dejado cambiar el userid.

Como nota final, me gustaría que el que dice que puede desencriptar https en tiempo real nos haga una demostración pormenorizada, por que me temo que lo único que ve son streams encriptados con claves asimétricas de 128 bits. Es posible desencriptarlas pero hace falta bastante tiempo.

✖

BocaDePez 26 mayo 2003 11:39

⋮

y la visa? y la ingenieria social con todos esos datos? trabajas en uno-e? :P

chao!

✖

mac1929 27 mayo 2003 11:17

⋮

Tienes razón, si se muestra información sobre la Visa cuanquier comericio aceptará el pago dado que además del número conoces la fecha de caducidad y el titular. No es definitivo porque siempre tienes opción de cancelar el pago, si es que te das cuenta, pero es una putada.

Lo de la ingeniería social no lo pillo. Llamando al uno-e y solicitando transferencias por teléfono, por ejemplo, te piden las claves, ni siquiera los operadores pueden realizar una operación sin tus claves. Si no las conoces te las reenvian por correo y cuando las tienes vuelves a llamar.

Y no, no trabajo en uno-e, pero tengo allí la pasta y en cuanto he leido el mensaje me he preocupado. Por eso matizo que no es tan grave, y lo digo porque podría haber sido muchísimo peor.

✖

BocaDePez 27 mayo 2003 11:39

⋮

Por ejemplo si el tío este hubiera sido “malo” tiene tu correo como cliente ya que en el apartado buzón sale tal cual, te envía un mail como uno-e ya que el from: se puede modificar fácilmente, y te dice que en la próxima operación llame a X numero de teléfono que le atenderá un operador de UNO-E para realizar la operación, que pasa entonces? Entiendes que es la ingeniería social? Muchos picarían y el tío conectado al mismo tiempo pues operaria fácilmente timando al cliente.

Y a demas ver los movimientos de las tarjetas de credito supone por ejemplo que si compras en un sexhop gay, aparezcan datos de caracter privado catalogados como altos asi que grave lo es. Tecnicamente petetico, pero de consecuencias GRAVES.

✖

mac1929 28 mayo 2003 06:14

⋮

✖

BocaDePez 28 mayo 2003 07:04

⋮

✖

mac1929 28 mayo 2003 07:41

⋮

✖

BocaDePez 28 mayo 2003 07:55

⋮

✖

mac1929 28 mayo 2003 08:32

⋮

✖

BocaDePez 28 mayo 2003 08:50

⋮

✖

mac1929 28 mayo 2003 09:38

⋮

✖

BocaDePez 28 mayo 2003 10:33

⋮

✖

mac1929 28 mayo 2003 11:00

⋮

BocaDePez 28 mayo 2003 07:06

⋮

✖

mac1929 28 mayo 2003 07:50

⋮

✖

churfer 30 mayo 2003 05:05

⋮

BocaDePez 23 mayo 2003 07:05

⋮

Como sale en el Navegante uno-e reconoce y soluciono el problema en 24horas.

(link roto)

c4p0t

✖

MokiX 23 mayo 2003 13:08

⋮

reconocer los errores es una virtud de las que muchos carecen

Sylvestre 23 mayo 2003 16:51

⋮

Al menos solo por el hecho de haberlo reconocido ya se merecen un voto de confianza, no como otros.

✖

BocaDePez 23 mayo 2003 17:02

⋮

no tienen otro remedio, esta hecho ante notario, si no fuera asi, seguro que lo arreglan y luego se lo follan por difamacion o lo que sea, lo que el tio ha estado listo. Ole sus huevos!

✖

Klian 25 mayo 2003 16:25

⋮

Y si encima le da un regalito al "hacker" pues mejor.

Es hora de que las grandes empresas vayan reconociendo y enmendando sus errores

TOMMYLEE 26 mayo 2003 05:26

⋮

es que nadie se ha fijado que el tio saca 600 euros diarios!!!!! que nivel de vida es ese???

✖

BocaDePez 27 mayo 2003 04:01

⋮

el de un hacker qe vive de sacar pajitas a las web..

✖

BocaDePez 27 mayo 2003 06:28

⋮

Que la cuenta era de otro y no del "hacker" atontao...

✖

TOMMYLEE 29 mayo 2003 06:42

⋮

a ver anormal de las pelotas estoy hablando del titular de la cuenta no del pajillero que ha hecho los pantallazos

✖

churfer 30 mayo 2003 05:40

⋮

el tio saca 600 Euros DIARIOS!!! que caaaaabrrrrooonn!!!jajja

Eso responde al tronko ese que decia que el error no es tan grave. gracias a esta informacion ya sabemos que el dueño de la cuenta es un put.. y un came..

✖

TOMMYLEE 30 mayo 2003 13:29

⋮