329 meneos

Como vulnerar la protección de datos con un “he olvidado mi contraseña”

www.samuelparra.com/2009/02/22/como-vulnerar-la-proteccio... 
por sam2001 el 22-02-2009 22:16 UTC publicado el 23-02-2009 01:00 UTC

La web del banco Santander podría estar vulnerando el deber de secreto al revelar la identidad de sus clientes si se utiliza con picaresca el mecanismo que tiene configurado para recuperar la contraseña en caso de olvido. Como efecto colateral, sería posible que un usuario mal intencionado bloquease el acceso a los clientes de la banca online del Santander.

etiquetas: bsch, lopd, datos personales, seguridad
negativos: 1   usuarios: 190   anónimos: 139  
compartir:  twitter  facebook  tuenti  
36 comentarios actualidad, política karma: 718
  1. #1   ¿Y este es el grandísimo banco español?
    48  votos: 3   link
    el 22-02-2009 22:33 UTC por eR_LeKi eR_LeKi
  2. #2   No es sólo problema del Santander, en La Caixa también se identifican los usuarios con su DNI.
    16  votos: 3   link
    el 22-02-2009 22:38 UTC por basti basti
  3. #3   #2 cambiarán las cosas cuando a algún gracioso le de por hacer un script y bloquee las cuentas de miles de clientes por superar el número máximo de intentos fallidos.
    37  votos: 2   link
    el 22-02-2009 22:39 UTC por sam2001 sam2001
  5. #5   El de la caixa es el dni más dos números, aunque sigue siendo inseguro.
    6  votos: 0   link
    el 22-02-2009 22:58 UTC por perse-hifi perse-hifi
  6. #6   #2 #5

    Si vais a la web de La Caixa y haceis click en "Recordar Contraseña", vereis que pide el número de tarjeta de crédito y la fecha de caducidad de ésta para recordar la contraseña.
    75  votos: 7   link
    el 22-02-2009 23:16 UTC por --51021-- --51021--
  7. #7   Yo después de probar varios, cada vez me gusta más el sistema de ING Direct. El mejor compromiso entre la "comodidad" de un password y la seguridad de una libreta de "claves de un solo uso".
    27  votos: 3   link
    el 22-02-2009 23:19 UTC por ktzar ktzar
  8. #8   #6 algo bien hecho entonces :-)
    10  votos: 0   link
    el 22-02-2009 23:20 UTC por sam2001 sam2001
  9. #9   Pues si, es una putada :-) un aplauso al que ha descubierto el error.

    Un buen error informatico.
    47  votos: 3   link
    el 22-02-2009 23:22 UTC por eol eol
  11. #11   Bueno, ¿supongo que habrá avisado para que intenten solucionar el problema no?
    12  votos: 0   link
    el 22-02-2009 23:29 UTC por Alexxx Alexxx
  12. #12   Jdr, es que se podría llegar a conseguir el acceso, y además, a cambio de haber bloqueado un montón de cuentas antes, sin más que fijar cuatro números e ir probando en cada nif. Si tienes tres intentos para cada nif, tienes una probabilidad de acierto de 1/333,3 y eso es mucho, si además puedes probar en miles de nifs, es posible que acabes accediendo a alguna cuenta.
    9  votos: 0   link
    el 22-02-2009 23:32 UTC por Jnnss Jnnss
  13. #13   espero que al menos sean lo suficientemente habiles como para bloquear una ip y mac que les empieze a realizar intentos de conexion de varias cuentas bloqueandolas por no haber conseguido una clave valida...
    23  votos: 1   link
    el 22-02-2009 23:38 UTC por desapd desapd
  14. #14   A Paris Hilton le robaron una cuenta porque tenía de pregunta de seguridad ¿Cuál es el nombre de tu mascota? Y claro su chihuahua es más conocido en el mundo rosa de EEUU que aquí la Andreíta de la Esteban... :roll:
    27  votos: 1   link
    el 22-02-2009 23:54 UTC por jm22381 jm22381
  15. #15   Mierda, creo que debería ir pensando en cambiar de banco. #12 La clave tiene más de cuatro dígitos, pero aún así.
    7  votos: 0   link
    el 22-02-2009 23:57 UTC por adriatico adriatico
  16. #16   #12 Esa probabilidad te la acabas de sacar de la manga. La contraseña la pones tú. Si eres tan pardillo como para poner la misma clave de cuatro dígitos de tu tarjeta, entonces la debilidad de la contraseña es culpa tuya y sólo tuya.

    Decir que esto es un problema de seguridad es amarillismo. Es una violación de la Ley de Protección de Datos a causa de un mal diseño de usabilidad. Pero no es más que eso.

    Y si te bloquean una cuenta bajas a la sucursal de la esquina y solucionado. De nuevo un problema de usabilidad y no de seguridad. Nadie accede a tus datos ni a tu dinero.

    Pues no he visto yo chapuzas de película de miedo ni nada en sistemas bancarios. Que una sin consecuencias se vea en una "web", se me ocurre que es de lo menos malo que puede pasar.
    11  votos: 0   link
    el 23-02-2009 00:02 UTC por Malversan Malversan
  17. #17   #16 la seguridad informática (según cualquier manual de seguridad) tiene 3 vertientes (que son además las que suelen auditarse): confidencialidad, integridad y disponibilidad.
    En efecto no accedes a ver el saldo de una cuenta, pero sí que quiebras la "disponibilidad" de la información de ese usuario, porque pueden estar bloqueándote la cuenta cada 2 segundos, y no todos tienen una sucursal debajo de su casa, ni a todos les apetece llamar a un 902 para reestablecerla.
    38  votos: 3   link
    el 23-02-2009 00:11 UTC por sam2001 sam2001
  18. #18   #17 Respondía a #12, que explícitamente afirmaba que se podría llegar a conseguir acceso (lo cual es falso) y que parecía temer por sus ahorros al tiempo que revelaba en Menéame el formato de su contraseña. xD
    21  votos: 1   link
    el 23-02-2009 00:18 UTC por Malversan Malversan
  19. #19   #18 jajajajaj; efectivamente conseguir acceso no se consigue :-)
    10  votos: 0   link
    el 23-02-2009 00:21 UTC por sam2001 sam2001
  20. #20   Si pones tu pin meneame lo bloquea automáticamente: * * * * ;)
    16  votos: 1   link
    el 23-02-2009 00:41 UTC por --14204-- --14204--
  22. #22   El tratamiento web del Santander es realmente nefasto. Recuerdo como había que registrarse por narices en Universia, el 'portal' para universidades impuesto a golpe de talonario tras acuerdos con estas últimas.

    El sistema de registro es sonrrojante, pidiendote datos como el DNI y con un sistema de comprobación para ver que no te lo inventas (hay una anécdota curiosa que me paso que busqué varias fotos de DNIs en Google y todos los números que instroduje decía que ya estaban en su base de datos luego a alguien más se le ocurrió mi idea antes xD ) y otras lindezas que solo valían para que el registro te permitiera por ejemplo acceder a tu matrícula o a zonas de configuración de datos que te pedían en la propia Universidad.

    Tras unos 20 minutos intentando darme de alta, tras haberles dado mis datos, tras haber cumplido mi parte.... error, no se puede acceder a la página solicitada. Y desde entonces recibo toneladas de basura en el correo.

    No me extraña que sean los primeros jugando así.
    10  votos: 0   link
    el 23-02-2009 01:08 UTC por Don_Gato Don_Gato
  23. #23   #20 a ver que pruebe Mi pin es 1234 ouch!
    6  votos: 0   link
    el 23-02-2009 01:08 UTC por RaiderDK RaiderDK
  24. #24   #23, es verdad tambien pasa con la cuenta del banco, ah, ten en cuenta que tu si que ves tus numeros pero no el resto, por ejemplo yo pongo **** y efectivamente leo ****
    6  votos: 0   link
    el 23-02-2009 01:13 UTC por paperro paperro
  25. #25   #16 #18 #19 No tengo ninguna cuenta en el Santander (uy!, ya estoy dando información...). Lo de los cuatro dígitos es porque llegados a este punto: www.samuelparra.com/wp-content/uploads/2009/02/san03.jpg tienes que acertar 4 números, y si los aciertas, te dan una clave nueva, con lo que consigues acceso. Si tienes tres oportunidades, y siempre te piden la misma situación de los números, tienes 3 probabilidades entre 1000 posibles de acertar, por eso lo de 1/333,3. Si fallas, puedes volver a intentarlo con otro nif, y así sucesivamente. Lógicamente, esto no llegaría muy lejos haciéndolo a mano, pero sí con un script.
    Si esto es así, lo cual solo sé por lo leído en el enlace (y tampoco dediqué mucho tiempo a darle vueltas), no es falso que se pueda conseguir un acceso.
    9  votos: 0   link
    el 23-02-2009 01:17 UTC por Jnnss Jnnss
  26. #26   mi pin es * * * *, vivo en ▲▲▲▲▲▲▲▲ y mi correo es invidindo_tena@gmail.com

    edit: no lo filtra todo, no funciona creo.
    6  votos: 0   link
    el 23-02-2009 01:50 UTC por Cidwel Cidwel
  27. #27   Errónea, no vulnera la protección de datos; los datos directamente no están protegidos.

    :-P
    6  votos: 0   link
    el 23-02-2009 02:55 UTC por Xitoshi Xitoshi
  28. #28   Yo un dia me intente dar de alta en la opcion de compras por internet con unas caracteristicas pero tardaba mucho en llegarme a casa, asi que un dia a las 2 de la mañana llame al telefono de atencion al cliente y respondiendo preguntas del estilo de "cuando fue tu ultimo movimiento" y cosas asi, acabaron dandome la clave

    A mi me vino de puta madre porque me ahorro mucho papeleo y tiempo de espera, pero esta claro que en cuanto pueda me dare de baja, ya que no me parecia nada seguro

    Se portaron muy bien, ya que lo necesitaba y les pregunte si habia algun metodo para evitar toda la espera, pero no me parece muy profesional ni algo que deba ser permitido en la politica de una empresa (Si lo hizo a nivel particular me parece mas grave aun)
    9  votos: 0   link
    el 23-02-2009 03:05 UTC por formulauno formulauno
  30. #30   ¡Oh! ¡¡Dios mío!! ¡¡Pueden adivinar si tengo o no una cuenta en el BSCH!! Qué problemón. ¡¡Y me pueden bloquear la cuenta!! ¡Qué malotes!....
    [/SARCASMO]

    Ni que fuese un gran problema. Molestia, sí. Pero no pasa de ahí. Amarillismo total.
    0  votos: 1   link
    el 23-02-2009 07:49 UTC por Bcd Bcd
  31. #31   #16 si puedes obtener logins de acceso válidos al sistema, es un problema de seguridad.

    Si puedes evitar que un usuario acceda al sistema (bloqueando su cuenta) es un problema de seguridad, y grave.

    Edit: Veo que #17 lo ha dejado claro :-)
    8  votos: 0   link
    el 23-02-2009 07:59 UTC por --51021-- --51021--
  32. #32   #6 El tema del DNI como nombre de usuario en La Caixa, lo puse por otro problema que explica el artículo, que es que con un script se pueden bloquear cuentas simplemente probando DNIs en el acceso a usuario, sin entrar en lo de "recordar contraseña".
    15  votos: 1   link
    el 23-02-2009 08:58 UTC por basti basti
  33. #33   Algunos estáis un poco liados.

    De entrada, lo que comenta el artículo es cierto. Puede intuirse quien tiene una cuenta en el BSCH con ese mecanismo.

    Lo que no es cierto es lo de la entrada parcial de dígitos en la contraseña.

    En el santander hay 2 contraseñas.

    Con la primera, entras a la web en modo consulta. No puedes operar. Al realizar una operación, te piden la segunda contraseña (la clave electrónica que le llaman) y es ahí donde solo realizas una entrada parcial.

    Esa misma entrada parcial es la que te piden cuando llamas por teléfono. De esa manera, un operador telefónico no puede quedarse con tu clave, salvo que realices muchísimas operaciones y siempre vayas a parar al mismo operador.

    Por cierto, hace años el Santander permitía claves alfanuméricas para la contraseña y me obligaron a cambiar a una numérica. En aquel momento les envié un email quejándome, ya que se reducía el dominio de posibles valores a usar como clave. Me contestaron que su seguridad era la polla, y bla, bla, bla.
    14  votos: 1   link
    el 23-02-2009 12:06 UTC por cosmonauta cosmonauta
  34. #34   #31 Pues podrías haber seguido leyendo y ver que en #18 ya estaba todo contestado. La seguridad purista teórica y la logística real de un servicio no tienen mucho que ver en la práctica.

    Por cierto, la vulnerabilidad de que hablamos no permite obtener logins de acceso válidos como dices, sino solamente validar logins aleatorios. No es lo mismo ni de lejos.
    11  votos: 0   link
    el 23-02-2009 16:20 UTC por Malversan Malversan
  35. #35   No lo veo tan grave... primero tienen que conseguir tu número de DNI, y si tanto te preocupa se puede cambiar el nombre de usuario.

    Salu2!!
    7  votos: 0   link
    el 24-02-2009 00:01 UTC por KirO KirO
  36. #36   No se puede cambiar el usuario.
    6  votos: 0   link
    el 24-02-2009 10:45 UTC por cosmonauta cosmonauta
comentarios cerrados

menéame