1406 meneos
5744 clics

¿Es correcto guardar los números de tarjetas de crédito en las 'cookies'? ¿Banco de Santander?

seclists.org/fulldisclosure/2012/Oct/101 
por pinpinela el 15-10-2012 15:56 UTC publicado: 15-10-2012 17:25 UTC
Pillan al Banco de Santander guardando los números de las tarjetas de crédito en las cookies. "Lo del Santander es un chiste en cuanto a seguridad. Hartos de batallar con ellos durante dos años para arreglar lo que cualquier otro banco hubiera arreglado en minutos, cosas como XSS en las páginas de inicio etc. Ya es hora de divulgar estos temas con la esperanza de que cambien su forma de actuar y se tomen la seguridad de sus clientes en serio"
etiquetas: seguridad, banca, web, clientes, banco de santander
negativos: 3   usuarios: 492   anónimos: 914  
compartir:  twitter  facebook  tuenti  
65comentarios tecnología, seguridad karma: 634
  1. #1   Solo digo que hace unos 3 años o asi, consegui hacer un pago por internet llamando al banco y dandole datos que podria haber obtenido facilmente por robarle una cartera al propietario
    Se que despues cambiaron alguna cosilla, pero si alguien me hubiese robado el DNI habria obtenido exactamente los mismos datos. Me urgia e intente convencer a la persona que me atendio..... pero se ganaron que despues de esa operacion, dejase de operar con ellos por ofrecerme tan poca seguridad
    232  votos: 26   link
    el 15-10-2012 16:34 UTC por formulauno formulauno
  2. #2   O que sus clientes se tomen en serio lo mal que los cuida su banco y lo abandonen.
    Clausulas abusivas, comisiones exageradas, seguridad de bajo nivel.
    31  votos: 3   link
    el 15-10-2012 16:39 UTC por demonionn demonionn
  3. #3   La credibilidad y fiabilidad de esta fuente de noticias es dudosa, cuanto menos. ¿Está la noticia contrastada?
    3  votos: 5   link
    el 15-10-2012 16:53 UTC por air air
  4. #4   #1 Si comenzara a listar lo que he conseguido hacer sin que apenas contrastaran mi identidad tanto bancos como eléctricas y compañías aereas... Me asusta pensar que algún día alguien quiera usar esta opción para "hacer el mal".

    Por ejemplo, he anulado un billete de avión solo con el código de reserva. Me quedé flipando cuando ni siquiera me pidieron el nombre.
    132  votos: 15   link
    el 15-10-2012 17:02 UTC por in.memoriam.warmaster in.memoriam.warmaster
  5. #5   #0 Corrige el titular, por favor, que los meneantes somos muy exigentes con estas cosas.
    9  votos: 0   link
    el 15-10-2012 17:26 UTC por --232938-- --232938--
  6. #6   hay gente que hace overbooking al coger billetes de avión con el firebug activando de nuevo los campos del formulario...
    6  votos: 0   link
    el 15-10-2012 17:27 UTC por twixer twixer
  7. #7   Bankia a veces pide la fecha de nacimiento después del DNI, fecha que queda almacenada, cuando lo vi me pareció poco profesional, no, lo siguiente...
    33  votos: 2   link
    el 15-10-2012 17:28 UTC por ZeN ZeN
  8. #8   El anuncio es solo sobre Santander en el Reino Unido.
    66  votos: 7   link
    el 15-10-2012 17:28 UTC por Ludwigvan Ludwigvan
  9. #9   En ocasiones la realidad supera a la ficción
    6  votos: 0   link
    el 15-10-2012 17:30 UTC por iniciativas iniciativas
  10. #10   #6 ¿con que compañía viajan? :troll:
    10  votos: 0   link
    el 15-10-2012 17:31 UTC por ann_pe ann_pe
  11. #11   Evidentemente, Dexter Morgan (que no @DexterMorgan) usa Santander (véase primer capítulo de la nueva temporada).
    25  votos: 2   link
    el 15-10-2012 17:37 UTC por Mordisquitos Mordisquitos
  12. #12   #8 De hecho la infraestructura es del Abbey, que es el banco que fue "adquirido" por el Grupo Santander. Se le cambió el nombre, pero el tema sistemas es poco probable que se tocara.

    Así que no es el Santander, es el Santander UK.

    De todas formas comprobar el asunto con el banco Santander español no debería ser demasiado complicado.
    66  votos: 7   link
    el 15-10-2012 17:45 UTC por jjm jjm
  13. #13   #4 Lo de las eléctricas y su seguridad telefónica es de risa:

    - ¿Es usted el titular?
    - No.
    - Entonces lamento comunicarle que no podemos realizar el cambio solicitado.
    - ... ¬¬
    - ¿Es usted el titular?
    - Sí. :roll:
    - Le confirmamos que se ha realizado el cambio de domiciliación.
    - ... :troll:
    242  votos: 27   link
    el 15-10-2012 17:47 UTC por Hanxxs Hanxxs
  14. #14   #3 ¿La lista "full disclosure" dudosa? Se ha contrastado: news.ycombinator.com/item?id=4654606

    Imagino que eventualmente aparecerá el tema en otros medios que igual consideras "más fiables".
    56  votos: 6   link
    el 15-10-2012 17:48 UTC por jjm jjm
  15. #15   habrá que eliminar las cookies cada vez que se opere online con este banco... hasta cerrar la cuenta, en el caso que esto se confirme, por supuesto...
    13  votos: 1   link
    el 15-10-2012 17:50 UTC por monarca monarca
  16. #16   El Santander y también BBVA les pasa lo mismo no tienen la seguridad que ING Direct, lo se muy bien por que tengo cuantas en los tres... en fin un problema mas que nos dan los bancos... :wall:
    15  votos: 1   link
    el 15-10-2012 17:54 UTC por Milkhouse Milkhouse
  17. #17   #7 Cada vez que entro en Bankia pienso lo mismo, pedirla y almacenarla es como no pedirla. Al menos la oficina Internet de Bankia es bastante decente (una de las pocas cosas buenas que tiene Bankia), no como la de Santander que parece que es de hace 10 años.
    9  votos: 0   link
    el 15-10-2012 17:55 UTC por Gato-Pardo Gato-Pardo
  18. #18   Empresas y empresas. Esta tarde he reportado un fallo de seguridad a una gran empresa acortadora de urls y al rato me han contestado dándome las gracias en mayúsculas y ofreciéndome el envío de un detalle por su parte por haberles ayudado.

    Lo dicho. Empresas y empresas.
    16  votos: 1   link
    el 15-10-2012 18:01 UTC por jormagar jormagar
  19. #19   #4 Los hackers llevan años usándolo, se llama ingeniería social: es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1ti
    59  votos: 6   link
    el 15-10-2012 18:04 UTC por mrsiir mrsiir
  20. #20   #19 Sí, pero en general lo suelen hacer para sacar provecho propio, con lo que o bien paran cuando han conseguido una buena suma o bien los acaban pillando.

    Yo estaba pensando en alguien que lo hiciera para sembrar el caos.
    19  votos: 1   link
    el 15-10-2012 18:05 UTC por in.memoriam.warmaster in.memoriam.warmaster
  21. #21   Alguien tiene que decirlo... www.youtube.com/watch?NR=1&v=BNsrK6P9QvI
    9  votos: 0   link
    el 15-10-2012 18:16 UTC por Wayfarer Wayfarer
  23. #23   #4 Eso se lleva practicando desde años, hay un mercado negro detrás de trafico de datos bancarios.

    existen empresas que se dedican a estas cosas en ciertos países del este y que parece que ganan su dinero.
    9  votos: 0   link
    el 15-10-2012 18:24 UTC por nicobellic nicobellic
  24. #24   #22 Detector de adn :roll: en el teclado??? :-D
    7  votos: 0   link
    el 15-10-2012 18:26 UTC por --282749-- --282749--
  26. #26   Yo hace un tiempo que deje ese banco, que quería "ser mi banco" pero yo sus comisiones encubiertas no las quiero. Dicen 0 comisiones, pero nanay nanay. Te cobran y luego te ponen excusas.

    Mira que no habrá bancos mil veces mejores que ese, (bueno ninguno) y la gente sigue confiando su dinero a los botín para que se lo gasten en la F1...

    Somos de chiste!
    6  votos: 0   link
    el 15-10-2012 18:35 UTC por mesi mesi
  27. #27   joder, no os penseis que es algo trivial, hay que desencriptar la cookie

    "The sensitive information in the NewUniversalCookie is base64 encoded, when decoded it is of the format shown below
    (sensitive data has been stripped):"
    20  votos: 1   link
    el 15-10-2012 18:45 UTC por Mschumacher Mschumacher
  28. #28   ¿Es correcto lavar el glande después de la masturbación?
    16  votos: 1   link
    el 15-10-2012 18:48 UTC por --343443-- --343443--
  29. #29   #27 Espero que estés en modo irónico, la codificación bas64 es pública y codifica cada 6 bits como un caracter ASCII imprimible.
    25  votos: 2   link
    el 15-10-2012 18:52 UTC por mcalavera81 mcalavera81
  30. #30   #27 estas de coña no?
    17  votos: 1   link
    el 15-10-2012 18:54 UTC por condemor condemor
  31. #31   Sólo diré que no es el unico banco con problemas de segurida el banko de ciertos bankeros también tiene lo suyo y seguro que nos son los únicos. Es lo que pasa cuando subsubsubsubsubcontratas al típico becarío que sabe usar cuatro herramientas para que te haga una auditoría.
    6  votos: 0   link
    el 15-10-2012 18:59 UTC por xiscosoft xiscosoft
  32. #32   No....  media
    13  votos: 1   link
    el 15-10-2012 19:00 UTC por frixuelu frixuelu
  33. #33   Pues a mi La Caixa me bloqueó el acceso desde internet porque según ellos mi máquina no era segura, y tenían razón tenía un troyano como la copa de un pino...yo prefiero no poder entrar un par de días por una sospecha y que después no sea cierta que lamentar cosas peores
    Saludos.
    21  votos: 1   link
    el 15-10-2012 19:14 UTC por Fiz3d Fiz3d
  34. #34   #1 Pues vamos daos, hubieses dejado de operar con ellos porque no te hicieron lo que querías y hubieses dejado de operar con ellos porque te lo hicieron y eso es un fallo de seguridad...

    Españoles, somos la polla.
    42  votos: 4   link
    el 15-10-2012 19:18 UTC por HipnoSapo HipnoSapo
  35. #35   Esto ha sido el becario del becario de la subcontrata de la subcontrata de la subcontrata.
    Ahora lo echaran a la calle y se lo daran al becario de la subcontrata de la subcontrata de la subcontrata para que lo arregle.
    6  votos: 0   link
    el 15-10-2012 19:20 UTC por monocromo monocromo
  36. #36   #4 De hecho un familiar mio estuvo trabajando para cierta compañía dedicada a distribuir gas natural, ups, en fin, al final a pesar de estar en paro se salió de ese trabajo por varias cosas que vio y porque siendo legal no ganaba nada. En fin, había muchos que se dedicaban a romper buzones para robar los datos de quienes luego iban a pasar como clientes.
    7  votos: 0   link
    el 15-10-2012 19:23 UTC por Arth Arth
  37. #37   #14 #3 La lista Full Disclosure de Nmap seclists.org/fulldisclosure/2012/Oct/101
    9  votos: 0   link
    el 15-10-2012 19:25 UTC por danito danito
  38. #38   #11 Me has recordado que en general la forma en que se trata a los hackers en la televisión deja mucho que desear, pero luego pasan cosas como esta y no parece tan increible que alguien pueda dar de baja tus tarjetas de crédito sólo con saber el número.
    7  votos: 0   link
    el 15-10-2012 19:28 UTC por Arth Arth
  39. #39   #12 Si te fijas en la web santander.co.uk, algunas variables get de la página están en español:canal, empr de empresa, leng de lenguaje.. Esa chapuza estará importada desde españa casi con toda seguridad.
    24  votos: 2   link
    el 15-10-2012 19:55 UTC por clinfo clinfo
  40. #40   #39 No estaría tan seguro, hay referencias a appId=abbey.internet.Abbeycom. Son empresas diferentes.

    Aunque según la wikipedia: "Abbey migrated all customer accounts to the Partenon computer software used by Santander in June 2008" de en.wikipedia.org/wiki/Abbey_National#Takeover_and_rebrand

    Me sigue pareciendo más sencillo que sean soluciones diferentes. De todas formas el PoC está explicado en la noticia, se puede verificar el portal del Santander español (hace falta tener cuenta, claro).
    9  votos: 0   link
    el 15-10-2012 20:05 UTC por jjm jjm
  41. #41   Eso es consultora española 100%.
    Ese codigo es 100% spanish carnica.
    16  votos: 1   link
    el 15-10-2012 20:12 UTC por monocromo monocromo
  42. #42   #39 Pues estoy casi por darte la razón. Gente con cuenta en otros bancos está informando que siguiendo los pasos descritos en la prueba de concepto obtienen un XML en la misma cookie, aunque sin datos aparentemente sensibles (nada de número de tarjeta de crédito).

    Sí parece que comparten sistema :palm:
    9  votos: 0   link
    el 15-10-2012 20:24 UTC por jjm jjm
  43. #43   #40 A mi me da que si, tanto santander.co.uk, como bancosantander.es, como ibanesto.com tiene variables super parecidas. Eso esta hecho todo por Isban, me juego un dedo.

    Por otro lado, Partenon es el core bancario, carga de saldos, control de imputaciones, interconexión con otros procesos importantes (fondos, planes de pensiones, valores, domiciliaciones, etc). Basicamente lo que tenía montado banesto, que se migro a Santander y luego se llevo a bancos de fuera.
    6  votos: 0   link
    el 15-10-2012 20:25 UTC por clinfo clinfo
  44. #44   ¿Nadie va a hablar de banksphere, ese maravilloso entorno donde por arte de magia arrastrando bolas haces páginas web? Y que es un truño de primera categoría claro,una amalgama de despropósitos y chapuzas sobre chapuzas
    20  votos: 1   link
    el 15-10-2012 20:31 UTC por GuL GuL
  45. #45   No es el único chiste, no hay más que fijarse un poquito.

    Me encontré en Bancaja un mensaje de "estamos realizando cambios, disculpe las molestias", y era un puto div flotante puesto por encima del resto de la página!!! (Se que no es un fallo de seguridad, pero es una chapuza y, depende de lo que estuviesen cambiando, puede ser algo muy arriesgado. Una cutrada no aceptable para la web de un banco vamos).

    Le puse un display:none y a correr. (Eso si, no me atraví a hacer nada más que no fuese consultar los movimientos.. Juasjuas).
    16  votos: 1   link
    el 15-10-2012 20:35 UTC por Undead Undead
  46. #46   #29 #30 no estoy de coña, yo desde luego no sabria desencriptar eso, supongo que para gente familiarizada con el hacking sera sencillo pero a mi me suena a chino
    11  votos: 0   link
    el 15-10-2012 20:45 UTC por Mschumacher Mschumacher
  47. #47   Creo que nada puede superar los fallos de seguridad de Endesa.
    Puedes hacer un cambio de titular y de cuenta corriente de cobro con una simple llamada de teléfono. El titular puede ser cualquiera y la cuenta corriente también. No hay ninguna verificación posterior, comprobación de datos, etc.
    9  votos: 0   link
    el 15-10-2012 20:48 UTC por KimDeal KimDeal
  48. #48   #44 los bancos y los organismos públicos tienen esa curiosa costumbre de inventar sus propios frameworks rebuscadísimos.
    Supongo que debe ser por razones de seguridad, pero habiendo cientos de plataformas requeteprobadas y baratitas nunca deja de sorprenderme que se atrevan a invertir millones de euros y de horas en reinventar la rueda.
    9  votos: 0   link
    el 15-10-2012 20:52 UTC por KimDeal KimDeal
  49. #49   #48 La rueda es algo circular, pulido, perfecto...

    No hay ningun framework que sea perfecto. De hecho cada poco se reinventa la rueda en los frameworks web...
    10  votos: 0   link
    el 15-10-2012 21:54 UTC por dreierfahrer dreierfahrer
  50. #50   A eso yo le llamo un Epic Critical Fail...
    6  votos: 0   link
    el 15-10-2012 22:08 UTC por Lainon Lainon
  51. #51   #34 Pues a mi me pasó como #1 me urgía hacer unos trámites por teléfono pero a mi me pidieron unos datos que en ese momento no tenía. En ese momento me enfadé porque no puede solucionar mi problema pero precisamente decidí seguir operando con la misma compañía porque comprobé que era seguro. A día de hoy aún sigo con ellos porque me demostraron fiabilidad.
    13  votos: 1   link
    el 15-10-2012 22:40 UTC por larusca larusca
  52. #52   #18 Yo descubrí un pequeño "fallo de diseño" a la hora de autenticarte en Ruralvia, fue sin querer, hice lo típico de po.er mal el pass por si había algo en la máquina desde la que accedía y me dejo entrar, me quede ojiplático, investigando un poco llegué a la conclusión de que daba lo mismo cuan larga fuese tu contraseña, solo validan los 8 primeros carácteres, el resto daba igual lo que pusiera, entraba igual.
    Mande un correo informando, diciendo que realice la prueba con 3 navegadores diferentes, la respuesta de ellos fue un, te equivocas todo está bien. 2 semanas después vi que ha ían corregido lo que detecté, no fueron ni para decir gracias por la información.
    10  votos: 0   link
    el 15-10-2012 22:49 UTC por aneurysm aneurysm
  53. #53   #34 No habria dejado de operar con ellos porque no me lo hubiesen hecho

    Les pedi una cosa por si colaba, y estaba a la espera de que me pidiesen algun dato mas que pudiese confirmar mi identidad, pero personalmente me parece una falta de seguridad total que hagan una transferencia a una cuenta de fuera de España simplemente pidiendote los datos que pueden encontrar en un DNI.

    Que me hubiesen pedido datos como fechas de transferencias aproximadas, hecho una confirmacion con un codigo al movil, o incluso hacerme que me pasase por una oficina (Que ya les vale que tengas un servicio 24H de fontaneros, pero si el cajero jodido se traga tu tarjeta ya te puedes quedar con el culo al aire todo el fin de semana)

    A mi no me ofrecio garantias y por eso deje de operar con ellos hasta que cambiaron muchas cosas en temas de seguridad
    9  votos: 0   link
    el 15-10-2012 23:02 UTC por formulauno formulauno
  54. #54   En todas las casas cuecen habas... revington.github.com/programming/2012/08/10/protege-tu-firma-digital-e
    Esto lo denuncié este verano y pasaron de mi.
    25  votos: 2   link
    el 15-10-2012 23:24 UTC por pngr pngr
  55. #55   Hace un año largo encontré un XSS en una parte sensible de la página. Avisé a los de ISBAN. Aún estoy esperando a que lo arreglen.
    18  votos: 1   link
    el 16-10-2012 02:49 UTC por AlexVixgeck AlexVixgeck
  56. #56   Yo animo a todos los que sean clientes del Santander a escribir al mediante el servicio de Atención al cliente para pedir explicaciones, igual si ven que a los clientes les importa lo tienen más en cuenta
    9  votos: 0   link
    el 16-10-2012 09:11 UTC por ajavibp ajavibp
  57. #57   #53 Pues en cuanto a las compras por internet yo de momento no tengo ninguna queja; puesto que me la validan con un mensaje con un codigo al movil; ademas de esto tmb existen las tarjetas eCash ( o algo asi) las cuales tambien te dan seguridad a tu cuenta bancaria; ademas de que tambien recomiendo utlizar plataformas como paypal que tambien velan por ti
    6  votos: 0   link
    el 16-10-2012 10:37 UTC por ElLichi ElLichi
  58. #58   #46 www.base64decode.org/
    20  votos: 1   link
    el 16-10-2012 10:53 UTC por Cotard Cotard
  59. #59   #4 sí, pero si compras un billete de avión tienes que identificarte obligatoriamente. No se pueden comprar anónimamente, como los billetes de metro. Si hay un pago de una tarjeta robada y el titular lo denuncia como fraudulento pueden identificar a quien ha hecho el pago.
    12  votos: 0   link
    el 16-10-2012 11:00 UTC por Shotokax Shotokax
  60. #60   #58 me dice que mi tarjeta de credito es y׻{n4{y}k...
    11  votos: 0   link
    el 16-10-2012 11:45 UTC por Mschumacher Mschumacher
  61. #61   Estoy con #56. Cuanto más os quejéis (usando servicios de atención al cliente y similares) más caso os harán. Normalmente a los profesionales que trabajan en esto no se les hace demasiado caso y es cuando llueven palos desde el lado de los clientes cuando por fin se les da algo de crédito.
    6  votos: 0   link
    el 16-10-2012 12:17 UTC por tsiarardak tsiarardak
  62. #62   #60 Prueba con esto: home.paulschou.net/tools/xlate/

    Base64 es un tipo de codificación, no de cifrado
    10  votos: 0   link
    el 16-10-2012 12:58 UTC por ann_pe ann_pe
  63. #63   #62 #60 Si leéis bien el enlace veréis que lo que se ve decodificando la cookie no es el número de tarjeta de crédito sino una serie de datos en formato xml
    16  votos: 1   link
    el 16-10-2012 13:11 UTC por tsiarardak tsiarardak
  64. #64   #57 Por eso hablaba en pasado.
    No se cuanto tiempo llevas usando la tarjeta del Santander para hacer compras por internet, pero antes no hacian lo de la comprobacion con el movil cuando otras llevaban años haciendolo

    En general, tienen muchas cosas atrasadas, pero bueno, van mejorando
    9  votos: 0   link
    el 16-10-2012 14:07 UTC por formulauno formulauno
  65. #65   #52 Lo habitual es lo que te sucedió a ti, sobretodo si es una empresa española. Lo de los bancos es de traca.
    6  votos: 0   link
    el 18-10-2012 07:44 UTC por jormagar jormagar
comentarios cerrados

menéame