Portada
Hace 11 años | Por pinpinela a seclists.org
Publicado hace 11 años por pinpinela a seclists.org

¿Es correcto guardar los números de tarjetas de crédito en las 'cookies'? ¿Banco de Santander?

 seclists.org

Pillan al Banco de Santander guardando los números de las tarjetas de crédito en las cookies. "Lo del Santander es un chiste en cuanto a seguridad. Hartos de batallar con ellos durante dos años para arreglar lo que cualquier otro banco hubiera arreglado en minutos, cosas como XSS en las páginas de inicio etc. Ya es hora de divulgar estos temas con la esperanza de que cambien su forma de actuar y se tomen la seguridad de sus clientes en serio"

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 5.8k 65

Comentarios

Hanxxs

#4 Lo de las eléctricas y su seguridad telefónica es de risa:

- ¿Es usted el titular?
- No.
- Entonces lamento comunicarle que no podemos realizar el cambio solicitado.
- ...
- ¿Es usted el titular?
- Sí. roll
- Le confirmamos que se ha realizado el cambio de domiciliación.
- ...

V 27
K 242
f

Solo digo que hace unos 3 años o asi, consegui hacer un pago por internet llamando al banco y dandole datos que podria haber obtenido facilmente por robarle una cartera al propietario
Se que despues cambiaron alguna cosilla, pero si alguien me hubiese robado el DNI habria obtenido exactamente los mismos datos. Me urgia e intente convencer a la persona que me atendio..... pero se ganaron que despues de esa operacion, dejase de operar con ellos por ofrecerme tan poca seguridad

V 26
K 232
D
editado

#1 Si comenzara a listar lo que he conseguido hacer sin que apenas contrastaran mi identidad tanto bancos como eléctricas y compañías aereas... Me asusta pensar que algún día alguien quiera usar esta opción para "hacer el mal".

Por ejemplo, he anulado un billete de avión solo con el código de reserva. Me quedé flipando cuando ni siquiera me pidieron el nombre.

V 15
K 132
D

#4 Los hackers llevan años usándolo, se llama ingeniería social: http://es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1tica)

V 6
K 59
D

#19 Sí, pero en general lo suelen hacer para sacar provecho propio, con lo que o bien paran cuando han conseguido una buena suma o bien los acaban pillando.

Yo estaba pensando en alguien que lo hiciera para sembrar el caos.

V 1
K 19
nicobellic

#4 Eso se lleva practicando desde años, hay un mercado negro detrás de trafico de datos bancarios.

existen empresas que se dedican a estas cosas en ciertos países del este y que parece que ganan su dinero.

V 0
K 9
D

#4 De hecho un familiar mio estuvo trabajando para cierta compañía dedicada a distribuir gas natural, ups, en fin, al final a pesar de estar en paro se salió de ese trabajo por varias cosas que vio y porque siendo legal no ganaba nada. En fin, había muchos que se dedicaban a romper buzones para robar los datos de quienes luego iban a pasar como clientes.

V 0
K 7
Shotokax
editado

#4 sí, pero si compras un billete de avión tienes que identificarte obligatoriamente. No se pueden comprar anónimamente, como los billetes de metro. Si hay un pago de una tarjeta robada y el titular lo denuncia como fraudulento pueden identificar a quien ha hecho el pago.

V 0
K 12
D

#1 Pues vamos daos, hubieses dejado de operar con ellos porque no te hicieron lo que querías y hubieses dejado de operar con ellos porque te lo hicieron y eso es un fallo de seguridad...

Españoles, somos la polla.

V 4
K 42
larusca

#34 Pues a mi me pasó como #1 me urgía hacer unos trámites por teléfono pero a mi me pidieron unos datos que en ese momento no tenía. En ese momento me enfadé porque no puede solucionar mi problema pero precisamente decidí seguir operando con la misma compañía porque comprobé que era seguro. A día de hoy aún sigo con ellos porque me demostraron fiabilidad.

V 1
K 13
f

#34 No habria dejado de operar con ellos porque no me lo hubiesen hecho

Les pedi una cosa por si colaba, y estaba a la espera de que me pidiesen algun dato mas que pudiese confirmar mi identidad, pero personalmente me parece una falta de seguridad total que hagan una transferencia a una cuenta de fuera de España simplemente pidiendote los datos que pueden encontrar en un DNI.

Que me hubiesen pedido datos como fechas de transferencias aproximadas, hecho una confirmacion con un codigo al movil, o incluso hacerme que me pasase por una oficina (Que ya les vale que tengas un servicio 24H de fontaneros, pero si el cajero jodido se traga tu tarjeta ya te puedes quedar con el culo al aire todo el fin de semana)

A mi no me ofrecio garantias y por eso deje de operar con ellos hasta que cambiaron muchas cosas en temas de seguridad

V 0
K 9
ElLichi

#53 Pues en cuanto a las compras por internet yo de momento no tengo ninguna queja; puesto que me la validan con un mensaje con un codigo al movil; ademas de esto tmb existen las tarjetas eCash ( o algo asi) las cuales tambien te dan seguridad a tu cuenta bancaria; ademas de que tambien recomiendo utlizar plataformas como paypal que tambien velan por ti

V 0
K 6
f

#57 Por eso hablaba en pasado.
No se cuanto tiempo llevas usando la tarjeta del Santander para hacer compras por internet, pero antes no hacian lo de la comprobacion con el movil cuando otras llevaban años haciendolo

En general, tienen muchas cosas atrasadas, pero bueno, van mejorando

V 0
K 9
L

El anuncio es solo sobre Santander en el Reino Unido.

V 7
K 66
D

#8 De hecho la infraestructura es del Abbey, que es el banco que fue "adquirido" por el Grupo Santander. Se le cambió el nombre, pero el tema sistemas es poco probable que se tocara.

Así que no es el Santander, es el Santander UK.

De todas formas comprobar el asunto con el banco Santander español no debería ser demasiado complicado.

V 7
K 66
qrqwrqfasf

#12 Si te fijas en la web santander.co.uk, algunas variables get de la página están en español:canal, empr de empresa, leng de lenguaje.. Esa chapuza estará importada desde españa casi con toda seguridad.

V 2
K 24
D

#39 No estaría tan seguro, hay referencias a appId=abbey.internet.Abbeycom. Son empresas diferentes.

Aunque según la wikipedia: "Abbey migrated all customer accounts to the Partenon computer software used by Santander in June 2008" de https://en.wikipedia.org/wiki/Abbey_National#Takeover_and_rebrand

Me sigue pareciendo más sencillo que sean soluciones diferentes. De todas formas el PoC está explicado en la noticia, se puede verificar el portal del Santander español (hace falta tener cuenta, claro).

V 0
K 9
qrqwrqfasf
editado

#40 A mi me da que si, tanto santander.co.uk, como bancosantander.es, como ibanesto.com tiene variables super parecidas. Eso esta hecho todo por Isban, me juego un dedo.

Por otro lado, Partenon es el core bancario, carga de saldos, control de imputaciones, interconexión con otros procesos importantes (fondos, planes de pensiones, valores, domiciliaciones, etc). Basicamente lo que tenía montado banesto, que se migro a Santander y luego se llevo a bancos de fuera.

V 0
K 6
D
editado

#39 Pues estoy casi por darte la razón. Gente con cuenta en otros bancos está informando que siguiendo los pasos descritos en la prueba de concepto obtienen un XML en la misma cookie, aunque sin datos aparentemente sensibles (nada de número de tarjeta de crédito).

Sí parece que comparten sistema

V 0
K 9
ZeN

Bankia a veces pide la fecha de nacimiento después del DNI, fecha que queda almacenada, cuando lo vi me pareció poco profesional, no, lo siguiente...

V 2
K 33
Gato-Pardo

#7 Cada vez que entro en Bankia pienso lo mismo, pedirla y almacenarla es como no pedirla. Al menos la oficina Internet de Bankia es bastante decente (una de las pocas cosas buenas que tiene Bankia), no como la de Santander que parece que es de hace 10 años.

V 0
K 9
d

O que sus clientes se tomen en serio lo mal que los cuida su banco y lo abandonen.
Clausulas abusivas, comisiones exageradas, seguridad de bajo nivel.

V 3
K 31
d

En todas las casas cuecen habas... http://revington.github.com/programming/2012/08/10/protege-tu-firma-digital-en-tpv-de-la-ceca/
Esto lo denuncié este verano y pasaron de mi.

V 2
K 25
Mordisquitos

Evidentemente, Dexter Morgan (que noDexterMorganDexterMorgan) usa Santander (véase primer capítulo de la nueva temporada).

V 2
K 25
D
editado

#11 Me has recordado que en general la forma en que se trata a los hackers en la televisión deja mucho que desear, pero luego pasan cosas como esta y no parece tan increible que alguien pueda dar de baja tus tarjetas de crédito sólo con saber el número.

V 0
K 7
D

Pues a mi La Caixa me bloqueó el acceso desde internet porque según ellos mi máquina no era segura, y tenían razón tenía un troyano como la copa de un pino...yo prefiero no poder entrar un par de días por una sospecha y que después no sea cierta que lamentar cosas peores
Saludos.

V 1
K 21
M

joder, no os penseis que es algo trivial, hay que desencriptar la cookie

"The sensitive information in the NewUniversalCookie is base64 encoded, when decoded it is of the format shown below
(sensitive data has been stripped):"

V 1
K 20
D

#27 Espero que estés en modo irónico, la codificación bas64 es pública y codifica cada 6 bits como un caracter ASCII imprimible.

V 2
K 25
M

#29 #30 no estoy de coña, yo desde luego no sabria desencriptar eso, supongo que para gente familiarizada con el hacking sera sencillo pero a mi me suena a chino

V 0
K 11
Cotard

#46 http://www.base64decode.org/

V 1
K 20
M

#58 me dice que mi tarjeta de credito es y׻k...

V 0
K 11
ann_pe

#60 Prueba con esto: http://home.paulschou.net/tools/xlate/

Base64 es un tipo de codificación, no de cifrado

V 0
K 10
tsiarardak

#62 #60 Si leéis bien el enlace veréis que lo que se ve decodificando la cookie no es el número de tarjeta de crédito sino una serie de datos en formato xml

V 1
K 16
D

#27 estas de coña no?

V 1
K 17
GuL

¿Nadie va a hablar de banksphere, ese maravilloso entorno donde por arte de magia arrastrando bolas haces páginas web? Y que es un truño de primera categoría claro,una amalgama de despropósitos y chapuzas sobre chapuzas

V 1
K 20
KimDeal

#44 los bancos y los organismos públicos tienen esa curiosa costumbre de inventar sus propios frameworks rebuscadísimos.
Supongo que debe ser por razones de seguridad, pero habiendo cientos de plataformas requeteprobadas y baratitas nunca deja de sorprenderme que se atrevan a invertir millones de euros y de horas en reinventar la rueda.

V 0
K 9
dreierfahrer

#48 La rueda es algo circular, pulido, perfecto...

No hay ningun framework que sea perfecto. De hecho cada poco se reinventa la rueda en los frameworks web...

V 0
K 10
AlexVixgeck

Hace un año largo encontré un XSS en una parte sensible de la página. Avisé a los de ISBAN. Aún estoy esperando a que lo arreglen.

V 1
K 18
D

Eso es consultora española 100%.
Ese codigo es 100% spanish carnica.

V 1
K 16
U
editado

No es el único chiste, no hay más que fijarse un poquito.

Me encontré en Bancaja un mensaje de "estamos realizando cambios, disculpe las molestias", y era un puto div flotante puesto por encima del resto de la página!!! (Se que no es un fallo de seguridad, pero es una chapuza y, depende de lo que estuviesen cambiando, puede ser algo muy arriesgado. Una cutrada no aceptable para la web de un banco vamos).

Le puse un display:none y a correr. (Eso si, no me atraví a hacer nada más que no fuese consultar los movimientos.. Juasjuas).

V 1
K 16
D

¿Es correcto lavar el glande después de la masturbación?

V 1
K 16
jormagar

Empresas y empresas. Esta tarde he reportado un fallo de seguridad a una gran empresa acortadora de urls y al rato me han contestado dándome las gracias en mayúsculas y ofreciéndome el envío de un detalle por su parte por haberles ayudado.

Lo dicho. Empresas y empresas.

V 1
K 16
aneurysm

#18 Yo descubrí un pequeño "fallo de diseño" a la hora de autenticarte en Ruralvia, fue sin querer, hice lo típico de po.er mal el pass por si había algo en la máquina desde la que accedía y me dejo entrar, me quede ojiplático, investigando un poco llegué a la conclusión de que daba lo mismo cuan larga fuese tu contraseña, solo validan los 8 primeros carácteres, el resto daba igual lo que pusiera, entraba igual.
Mande un correo informando, diciendo que realice la prueba con 3 navegadores diferentes, la respuesta de ellos fue un, te equivocas todo está bien. 2 semanas después vi que ha ían corregido lo que detecté, no fueron ni para decir gracias por la información.

V 0
K 10
jormagar

#52 Lo habitual es lo que te sucedió a ti, sobretodo si es una empresa española. Lo de los bancos es de traca.

V 0
K 6
Milkhouse

El Santander y también BBVA les pasa lo mismo no tienen la seguridad que ING Direct, lo se muy bien por que tengo cuantas en los tres... en fin un problema mas que nos dan los bancos... wall

V 1
K 15
frixuelu

No....

comment_11617316 media
V 1
K 13
Candidatas
18
meneos
cultura Cómo libraban la guerra en alta mar los antiguos griegos (ENG)
26
meneos
ocio Polonia - La agencia de viajes de García-Castellón
41
meneos
actualidad El nudismo vuelve a estar permitido en Hendaia
55
meneos
actualidad Europa está siendo arrastrada a una guerra evitable
62
meneos
politica La Xunta pagó sobreprecios del 37% a la empresa que propició la comisión de dos millones a la pareja de Ayuso
26
meneos
cultura Alex Garland imagina una guerra civil en EEUU: “Trump es un extremista que se ha apoderado de un partido convencional”
13
meneos
tecnología Guía monstruosa del videojuego en PlayStation One
51
meneos
actualidad Amazon espía a sus rivales infiltrando a sus empleados en otras
33
meneos
actualidad Efectos de la contaminación en Cardiología: detrás del repunte de muertes por infartos
79
meneos
actualidad Las campañas de desinformación suelen ser de triple capa: digital, mediática y política. Un buen ejemplo es la campaña del PP #AyusoTeníaRazón
27
meneos
actualidad Piden al juez el embargo de bienes preventivo a un secretario de Estado, un consejero y otros tres alcaldes de Almería
20
meneos
cultura Una larga avenida columnada romana descubierta en la ciudad de Antalya
monarca

habrá que eliminar las cookies cada vez que se opere online con este banco... hasta cerrar la cuenta, en el caso que esto se confirme, por supuesto...

V 1
K 13
KimDeal

Creo que nada puede superar los fallos de seguridad de Endesa.
Puedes hacer un cambio de titular y de cuenta corriente de cobro con una simple llamada de teléfono. El titular puede ser cualquiera y la cuenta corriente también. No hay ninguna verificación posterior, comprobación de datos, etc.

V 0
K 9
D

#0 Corrige el titular, por favor, que los meneantes somos muy exigentes con estas cosas.

V 0
K 9
Wayfarer

Alguien tiene que decirlo...

V 0
K 9
D
editado

Hay una tecnología que es la de las huellas dactilares y que no se está usando. Debería de haber un triple cerrojo, clave, DNI digital y huella dactilar. Hoy en día ya hacemos muchas operaciones por internet, muchísimas compras, gestiones, todo tipo de pagos y la razón de esas ridículas medidas de seguridad está en el interés de hacerlo lo más fácil posible para los analfabetos digitales, rebajando el nivel de seguridad, para obtener un mayor número de clientes. O sea, una vez más es la codicia, la falsa comodidad y la ignorancia las que ponen el listón.

V 0
K 9
D
editado

#22 Detector de adn roll en el teclado???

V 0
K 7
ajavibp

Yo animo a todos los que sean clientes del Santander a escribir al mediante el servicio de Atención al cliente para pedir explicaciones, igual si ven que a los clientes les importa lo tienen más en cuenta

V 0
K 9
tsiarardak

Estoy con #56. Cuanto más os quejéis (usando servicios de atención al cliente y similares) más caso os harán. Normalmente a los profesionales que trabajan en esto no se les hace demasiado caso y es cuando llueven palos desde el lado de los clientes cuando por fin se les da algo de crédito.

V 0
K 6
D
editado

Ojalá todo fuese eso. La de cosas que hacen mal.

V 0
K 8
Lainon

A eso yo le llamo un Epic Critical Fail...

V 0
K 6
D
editado

Esto ha sido el becario del becario de la subcontrata de la subcontrata de la subcontrata.
Ahora lo echaran a la calle y se lo daran al becario de la subcontrata de la subcontrata de la subcontrata para que lo arregle.

V 0
K 6
xiscosoft

Sólo diré que no es el unico banco con problemas de segurida el banko de ciertos bankeros también tiene lo suyo y seguro que nos son los únicos. Es lo que pasa cuando subsubsubsubsubcontratas al típico becarío que sabe usar cuatro herramientas para que te haga una auditoría.

V 0
K 6
m

Yo hace un tiempo que deje ese banco, que quería "ser mi banco" pero yo sus comisiones encubiertas no las quiero. Dicen 0 comisiones, pero nanay nanay. Te cobran y luego te ponen excusas.

Mira que no habrá bancos mil veces mejores que ese, (bueno ninguno) y la gente sigue confiando su dinero a los botín para que se lo gasten en la F1...

Somos de chiste!

V 0
K 6
iniciativas

En ocasiones la realidad supera a la ficción

V 0
K 6
t

hay gente que hace overbooking al coger billetes de avión con el firebug activando de nuevo los campos del formulario...

V 0
K 6
ann_pe

#6 ¿con que compañía viajan?

V 0
K 10
air

La credibilidad y fiabilidad de esta fuente de noticias es dudosa, cuanto menos. ¿Está la noticia contrastada?

V 5
K 3
D

#3 ¿La lista "full disclosure" dudosa? Se ha contrastado: http://news.ycombinator.com/item?id=4654606

Imagino que eventualmente aparecerá el tema en otros medios que igual consideras "más fiables".

V 6
K 56
D

#14 #3 La lista Full Disclosure de Nmap http://seclists.org/fulldisclosure/2012/Oct/101

V 0
K 9