Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Grave problema de seguridad en Uno-e

BocaDePez

Acabo de encontrarme con esto en lo que era la web de !Hispahack:

Analizando la banca-online, UNO-E.

Uno-e, es uno de los principales bancos Españoles que operan en Internet, con más de 140.000 clientes forma parte del Grupo BBVA y Terra Networks. Como cliente de dicha entidad les voy a hacer participes de un pequeño análisis que realice hace unos días y que expongo seguidamente en este articulo/denuncia. Este es un análisis objetivo de una problemática generalizada, y es justamente ahora cuando deberían estar más tranquilos los clientes como yo de dicha entidad.

Análisis:

1.- Una vez accedo al banco Imagen original en http://www.mentes.org/images/link-extern-blue.pngbbva.es/personas.html con mi "Usuario" y "Contraseña", me doy cuenta de que tengo asignado un identificador (USER_ID) que es el mismo en cada sesión. Cada uno de los clientes de UNO-E tienen asignado uno y advierto que puedo variar mi identificativo (USER_ID) por otro aleatorio (secuencial), y interactuar como el usuario del mismo como si del mío propio se tratase. En este caso Imagen original en http://www.mentes.org/images/link-extern-blue.pngcomo vemos en la imagen, vario mi id por uno aleatorio 125377.

2.- Y como Imagen original en http://www.mentes.org/images/link-extern-blue.pngvemos ahora en esta imagen, la pantalla principal "Mi Cartera", me muestra la información correspondiente al cliente asociado a dicho id, sus cuentas, su saldo, etc.

3.- Interactuando como si de mi usuario se tratara puedo Imagen original en http://www.mentes.org/images/link-extern-blue.pngver los contratos, titulares de los mismos, cuentas, movimientos de las cuentas, Imagen original en http://www.mentes.org/images/link-extern-blue.pngtarjetas de crédito asociadas, Imagen original en http://www.mentes.org/images/link-extern-blue.pngmovimientos de las tarjetas...etc, lo que puede suponer tener acceso a datos de carácter personal de nivel alto. Esto hace, que este grave fallo de diseño de la aplicación tenga notadas consecuencias al atentar seriamente contra la privacidad de los clientes de la entidad.

... el articulo sigue en mentes.org o (link roto), hay rumores de que S21Sec lleva la seguridad del BBV y/o Uno-e.

P4k0

Ojete

Como son unos putos negaos y unos gilipollas, ellos y sus amigüitos que kieren convertir internet en un PUTO TELETIENDA y ni siquiera saben hacer eso bien la solucion es:

Prohibido revelar sus numerosos fallos de seguridad, y a partir de ahora solo podrá estudiar informatica la élite capitalista. A los demas con saber pulsar el acceso directo a AMAZON.COM (por ejemplo) ya nos vale

🗨️ 2
BocaDePez
BocaDePez

Seguro que un fpero de esos que programan en asp ha sido el encargado de esta chapuza...asi nos luce el pelo. I.Informaticos al poder!

🗨️ 1
henrygondorff

¿De qué te vale ser Ingeniero si eres un atontao? Suerte que no todos los ingenieros son como tú, aunque hay tantos que sí lo son que... "así nos luce el pelo"

oestrymnio

A mi no me pasa, yo cambio el USER_ID por el que dices y no pasa, o por otro cualquiera.

Siempre aparecen mis movimientos, cuentas y tarjetas por mucho que cambie el USER_ID. Como debe de ser, por otra parte.

Creo que en este caso quien queda de listo es el que hace estas afirmaciones.

🗨️ 1
BocaDePez
BocaDePez

Si sabes leer el notario a da fe de ello y ha llevado toda la noche de hoy caido uno-e posiblemente lo hayan arreglado urgentemente.

chao!

mikimoto1

Con esto, queda claro que de momento, la banca informatica no es segura.

Nos intentan liar con el protocolo ssl, de momento indescifrable, pero son incapaces de diseñar una web segura a la primera.

Es esvidente que la informatica es asi, y en mi identificacion de usuario de media-vida, o de esta web estoy dispuesto a correr el riesgo, pero en algo tan serio como las cuentas bancarias se deberia tener un poco mas de cuidado, no creeis?

A ver si el gobierno hace algo a derechas (bueno, creo que a derechas ya hace muchas cosas), y el lugar de limitar la transferencia de datos desde los usuarios de adls, se preocupan mas de la actuacion de las grandes empresas.

🗨️ 21
CyNic

.

🗨️ 4
mikimoto1

No veas

🗨️ 2
Stendall1

que cualquiera haciendo m-i-t-m con programas que vienen de serie con muchas distros de linux y ademas estan disponibles como el ettercap, puedes ver todo el trafico ssl de toda la gente conectada a tu nodo transparentemente.

Lo triste es que la gran mayoria de las paginas web de teletienda e incluso bancos siguen usandolo principalmente.

Un saludo.

🗨️ 1
yoprogramo

Cuentame como lo haces, pq no hay mandera de ver lo que hay "dentro" del paquete... Evidentemente el paquete lo ves, sino no podría llegar a destino, otra historia es que puedas desencriptar lo que hay dentro (solo se podría hacer si capturas los certificados que se intercambian y la clave simétrica), cosita mu chunga por otro lado.

Y me gustaría que nos enseñases los métodos más seguros que, según tu, pueden sustituir al SSL... Y que no sean variantes de él. Porque NO HAY NINGUNO QUE SE PUEDA USAR AHORA MISMO desde los navegadores, por tanto TODOS los sitios seguros siguen usando SSL.

Saludos... Y lee más.

yoprogramo

Te desafio a que desencriptes uno solo de los paquetes SSL que circulen por una intranet... EN TIEMPO REAL.. Que una cosa son los desafios con semanas y meses de fuerza bruta y otra el crackeo on-line.

mac1929

Evidentemente es un fallo de seguridad, no cabe duda. Se muestra información confidencial de los clientes. Sin embargo no es tan grave como pueda parecer.

Para realizar cualquier operación con uno-e es necesario conocer la clave operativa del usuario y mediante este sistema no hay manera de obtenerla.

Por otro lado en caso de conseguir hacer algo, aunque sólo sea ver las cuentas de otro usuario, los de uno-e tendrán tu acceso registrado y a no ser que por algún motivo nadie mire (o no se fije) en los logs.

Por otro lado parece que el problema ya está resuelto, al menos a mi no me ha dejado cambiar el userid.

Como nota final, me gustaría que el que dice que puede desencriptar https en tiempo real nos haga una demostración pormenorizada, por que me temo que lo único que ve son streams encriptados con claves asimétricas de 128 bits. Es posible desencriptarlas pero hace falta bastante tiempo.

🗨️ 15
BocaDePez
BocaDePez

y la visa? y la ingenieria social con todos esos datos? trabajas en uno-e? :P

chao!

🗨️ 14
mac1929

Tienes razón, si se muestra información sobre la Visa cuanquier comericio aceptará el pago dado que además del número conoces la fecha de caducidad y el titular. No es definitivo porque siempre tienes opción de cancelar el pago, si es que te das cuenta, pero es una putada.

Lo de la ingeniería social no lo pillo. Llamando al uno-e y solicitando transferencias por teléfono, por ejemplo, te piden las claves, ni siquiera los operadores pueden realizar una operación sin tus claves. Si no las conoces te las reenvian por correo y cuando las tienes vuelves a llamar.

Y no, no trabajo en uno-e, pero tengo allí la pasta y en cuanto he leido el mensaje me he preocupado. Por eso matizo que no es tan grave, y lo digo porque podría haber sido muchísimo peor.

🗨️ 13
BocaDePez
BocaDePez

Por ejemplo si el tío este hubiera sido “malo” tiene tu correo como cliente ya que en el apartado buzón sale tal cual, te envía un mail como uno-e ya que el from: se puede modificar fácilmente, y te dice que en la próxima operación llame a X numero de teléfono que le atenderá un operador de UNO-E para realizar la operación, que pasa entonces? Entiendes que es la ingeniería social? Muchos picarían y el tío conectado al mismo tiempo pues operaria fácilmente timando al cliente.

Y a demas ver los movimientos de las tarjetas de credito supone por ejemplo que si compras en un sexhop gay, aparezcan datos de caracter privado catalogados como altos asi que grave lo es. Tecnicamente petetico, pero de consecuencias GRAVES.

:)

🗨️ 12
mac1929
🗨️ 11
BocaDePez
BocaDePez
🗨️ 7
mac1929
🗨️ 6
BocaDePez
BocaDePez
🗨️ 5
mac1929
🗨️ 4
BocaDePez
BocaDePez
🗨️ 3
mac1929
🗨️ 2
BocaDePez
BocaDePez
🗨️ 1
mac1929
BocaDePez
BocaDePez
🗨️ 2
mac1929
🗨️ 1
churfer
BocaDePez
BocaDePez

Como sale en el Navegante uno-e reconoce y soluciono el problema en 24horas.

(link roto)

c4p0t

🗨️ 4
MokiX

reconocer los errores es una virtud de las que muchos carecen

Sylvestre

Al menos solo por el hecho de haberlo reconocido ya se merecen un voto de confianza, no como otros.

🗨️ 2
BocaDePez
BocaDePez

no tienen otro remedio, esta hecho ante notario, si no fuera asi, seguro que lo arreglan y luego se lo follan por difamacion o lo que sea, lo que el tio ha estado listo. Ole sus huevos!

🗨️ 1
Klian

Y si encima le da un regalito al "hacker" pues mejor.

Es hora de que las grandes empresas vayan reconociendo y enmendando sus errores

TOMMYLEE

es que nadie se ha fijado que el tio saca 600 euros diarios!!!!! que nivel de vida es ese???

🗨️ 5
BocaDePez
BocaDePez

el de un hacker qe vive de sacar pajitas a las web..

🗨️ 4
BocaDePez
BocaDePez

Que la cuenta era de otro y no del "hacker" atontao...

🗨️ 3
TOMMYLEE

a ver anormal de las pelotas estoy hablando del titular de la cuenta no del pajillero que ha hecho los pantallazos

🗨️ 2
churfer

el tio saca 600 Euros DIARIOS!!! que caaaaabrrrrooonn!!!jajja

Eso responde al tronko ese que decia que el error no es tan grave. gracias a esta informacion ya sabemos que el dueño de la cuenta es un put.. y un came..

🗨️ 1