1406 meneos
5752 clics

¿Es correcto guardar los números de tarjetas de crédito en las 'cookies'? ¿Banco de Santander?

Pillan al Banco de Santander guardando los números de las tarjetas de crédito en las cookies. "Lo del Santander es un chiste en cuanto a seguridad. Hartos de batallar con ellos durante dos años para arreglar lo que cualquier otro banco hubiera arreglado en minutos, cosas como XSS en las páginas de inicio etc. Ya es hora de divulgar estos temas con la esperanza de que cambien su forma de actuar y se tomen la seguridad de sus clientes en serio"
etiquetas: seguridad, banca, web, clientes, banco de santander
usuarios: 492   anónimos: 914   negativos: 3  
65comentarios mnm karma: 634
  1. #1   Solo digo que hace unos 3 años o asi, consegui hacer un pago por internet llamando al banco y dandole datos que podria haber obtenido facilmente por robarle una cartera al propietario
    Se que despues cambiaron alguna cosilla, pero si alguien me hubiese robado el DNI habria obtenido exactamente los mismos datos. Me urgia e intente convencer a la persona que me atendio..... pero se ganaron que despues de esa operacion, dejase de operar con ellos por ofrecerme tan poca seguridad
    votos: 26    karma: 232
  2. #2   O que sus clientes se tomen en serio lo mal que los cuida su banco y lo abandonen.
    Clausulas abusivas, comisiones exageradas, seguridad de bajo nivel.
    votos: 3    karma: 31
  3. #3   La credibilidad y fiabilidad de esta fuente de noticias es dudosa, cuanto menos. ¿Está la noticia contrastada?
    votos: 5    karma: 3
    air air
  4. #4   #1 Si comenzara a listar lo que he conseguido hacer sin que apenas contrastaran mi identidad tanto bancos como eléctricas y compañías aereas... Me asusta pensar que algún día alguien quiera usar esta opción para "hacer el mal".

    Por ejemplo, he anulado un billete de avión solo con el código de reserva. Me quedé flipando cuando ni siquiera me pidieron el nombre.
    votos: 15    karma: 132
  5. #5   #0 Corrige el titular, por favor, que los meneantes somos muy exigentes con estas cosas.
    votos: 0    karma: 9
  6. #6   hay gente que hace overbooking al coger billetes de avión con el firebug activando de nuevo los campos del formulario...
    votos: 0    karma: 6
  7. #7   Bankia a veces pide la fecha de nacimiento después del DNI, fecha que queda almacenada, cuando lo vi me pareció poco profesional, no, lo siguiente...
    votos: 2    karma: 33
    ZeN ZeN
  8. #8   El anuncio es solo sobre Santander en el Reino Unido.
    votos: 7    karma: 66
  9. #9   En ocasiones la realidad supera a la ficción
    votos: 0    karma: 6
  10. #10   #6 ¿con que compañía viajan? :troll:
    votos: 0    karma: 10
  11. #11   Evidentemente, Dexter Morgan (que no @DexterMorgan) usa Santander (véase primer capítulo de la nueva temporada).
    votos: 2    karma: 25
  12. #12   #8 De hecho la infraestructura es del Abbey, que es el banco que fue "adquirido" por el Grupo Santander. Se le cambió el nombre, pero el tema sistemas es poco probable que se tocara.

    Así que no es el Santander, es el Santander UK.

    De todas formas comprobar el asunto con el banco Santander español no debería ser demasiado complicado.
    votos: 7    karma: 66
    jjm jjm
  13. #13   #4 Lo de las eléctricas y su seguridad telefónica es de risa:

    - ¿Es usted el titular?
    - No.
    - Entonces lamento comunicarle que no podemos realizar el cambio solicitado.
    - ... ¬¬
    - ¿Es usted el titular?
    - Sí. :roll:
    - Le confirmamos que se ha realizado el cambio de domiciliación.
    - ... :troll:
    votos: 27    karma: 242
  14. #14   #3 ¿La lista "full disclosure" dudosa? Se ha contrastado: news.ycombinator.com/item?id=4654606

    Imagino que eventualmente aparecerá el tema en otros medios que igual consideras "más fiables".
    votos: 6    karma: 56
    jjm jjm
  15. #15   habrá que eliminar las cookies cada vez que se opere online con este banco... hasta cerrar la cuenta, en el caso que esto se confirme, por supuesto...
    votos: 1    karma: 13
  16. #16   El Santander y también BBVA les pasa lo mismo no tienen la seguridad que ING Direct, lo se muy bien por que tengo cuantas en los tres... en fin un problema mas que nos dan los bancos... :wall:
    votos: 1    karma: 15
  17. #17   #7 Cada vez que entro en Bankia pienso lo mismo, pedirla y almacenarla es como no pedirla. Al menos la oficina Internet de Bankia es bastante decente (una de las pocas cosas buenas que tiene Bankia), no como la de Santander que parece que es de hace 10 años.
    votos: 0    karma: 9
  18. #18   Empresas y empresas. Esta tarde he reportado un fallo de seguridad a una gran empresa acortadora de urls y al rato me han contestado dándome las gracias en mayúsculas y ofreciéndome el envío de un detalle por su parte por haberles ayudado.

    Lo dicho. Empresas y empresas.
    votos: 1    karma: 16
  19. #19   #4 Los hackers llevan años usándolo, se llama ingeniería social: es.wikipedia.org/wiki/Ingenier%C3%ADa_social_(seguridad_inform%C3%A1ti
    votos: 6    karma: 59
  20. #20   #19 Sí, pero en general lo suelen hacer para sacar provecho propio, con lo que o bien paran cuando han conseguido una buena suma o bien los acaban pillando.

    Yo estaba pensando en alguien que lo hiciera para sembrar el caos.
    votos: 1    karma: 19
  21. #21   Alguien tiene que decirlo... www.youtube.com/watch?NR=1&v=BNsrK6P9QvI
    votos: 0    karma: 9
  22. #23   #4 Eso se lleva practicando desde años, hay un mercado negro detrás de trafico de datos bancarios.

    existen empresas que se dedican a estas cosas en ciertos países del este y que parece que ganan su dinero.
    votos: 0    karma: 9
  23. #24   #22 Detector de adn :roll: en el teclado??? :-D
    votos: 0    karma: 7
     *   --282749-- --282749--
  24. #26   Yo hace un tiempo que deje ese banco, que quería "ser mi banco" pero yo sus comisiones encubiertas no las quiero. Dicen 0 comisiones, pero nanay nanay. Te cobran y luego te ponen excusas.

    Mira que no habrá bancos mil veces mejores que ese, (bueno ninguno) y la gente sigue confiando su dinero a los botín para que se lo gasten en la F1...

    Somos de chiste!
    votos: 0    karma: 6
  25. #27   joder, no os penseis que es algo trivial, hay que desencriptar la cookie

    "The sensitive information in the NewUniversalCookie is base64 encoded, when decoded it is of the format shown below
    (sensitive data has been stripped):"
    votos: 1    karma: 20
  26. #28   ¿Es correcto lavar el glande después de la masturbación?
    votos: 1    karma: 16
  27. #29   #27 Espero que estés en modo irónico, la codificación bas64 es pública y codifica cada 6 bits como un caracter ASCII imprimible.
    votos: 2    karma: 25
  28. #30   #27 estas de coña no?
    votos: 1    karma: 17
  29. #31   Sólo diré que no es el unico banco con problemas de segurida el banko de ciertos bankeros también tiene lo suyo y seguro que nos son los únicos. Es lo que pasa cuando subsubsubsubsubcontratas al típico becarío que sabe usar cuatro herramientas para que te haga una auditoría.
    votos: 0    karma: 6
  30. #32   No....  media
    votos: 1    karma: 13
  31. #33   Pues a mi La Caixa me bloqueó el acceso desde internet porque según ellos mi máquina no era segura, y tenían razón tenía un troyano como la copa de un pino...yo prefiero no poder entrar un par de días por una sospecha y que después no sea cierta que lamentar cosas peores
    Saludos.
    votos: 1    karma: 21
  32. #34   #1 Pues vamos daos, hubieses dejado de operar con ellos porque no te hicieron lo que querías y hubieses dejado de operar con ellos porque te lo hicieron y eso es un fallo de seguridad...

    Españoles, somos la polla.
    votos: 4    karma: 42
  33. #35   Esto ha sido el becario del becario de la subcontrata de la subcontrata de la subcontrata.
    Ahora lo echaran a la calle y se lo daran al becario de la subcontrata de la subcontrata de la subcontrata para que lo arregle.
    votos: 0    karma: 6
     *   monocromo monocromo
  34. #36   #4 De hecho un familiar mio estuvo trabajando para cierta compañía dedicada a distribuir gas natural, ups, en fin, al final a pesar de estar en paro se salió de ese trabajo por varias cosas que vio y porque siendo legal no ganaba nada. En fin, había muchos que se dedicaban a romper buzones para robar los datos de quienes luego iban a pasar como clientes.
    votos: 0    karma: 7
  35. #37   #14 #3 La lista Full Disclosure de Nmap seclists.org/fulldisclosure/2012/Oct/101
    votos: 0    karma: 9
  36. #38   #11 Me has recordado que en general la forma en que se trata a los hackers en la televisión deja mucho que desear, pero luego pasan cosas como esta y no parece tan increible que alguien pueda dar de baja tus tarjetas de crédito sólo con saber el número.
    votos: 0    karma: 7
     *   Arth Arth
  37. #39   #12 Si te fijas en la web santander.co.uk, algunas variables get de la página están en español:canal, empr de empresa, leng de lenguaje.. Esa chapuza estará importada desde españa casi con toda seguridad.
    votos: 2    karma: 24
  38. #40   #39 No estaría tan seguro, hay referencias a appId=abbey.internet.Abbeycom. Son empresas diferentes.

    Aunque según la wikipedia: "Abbey migrated all customer accounts to the Partenon computer software used by Santander in June 2008" de en.wikipedia.org/wiki/Abbey_National#Takeover_and_rebrand

    Me sigue pareciendo más sencillo que sean soluciones diferentes. De todas formas el PoC está explicado en la noticia, se puede verificar el portal del Santander español (hace falta tener cuenta, claro).
    votos: 0    karma: 9
    jjm jjm
  39. #41   Eso es consultora española 100%.
    Ese codigo es 100% spanish carnica.
    votos: 1    karma: 16
  40. #42   #39 Pues estoy casi por darte la razón. Gente con cuenta en otros bancos está informando que siguiendo los pasos descritos en la prueba de concepto obtienen un XML en la misma cookie, aunque sin datos aparentemente sensibles (nada de número de tarjeta de crédito).

    Sí parece que comparten sistema :palm:
    votos: 0    karma: 9
     *   jjm jjm
  41. #43   #40 A mi me da que si, tanto santander.co.uk, como bancosantander.es, como ibanesto.com tiene variables super parecidas. Eso esta hecho todo por Isban, me juego un dedo.

    Por otro lado, Partenon es el core bancario, carga de saldos, control de imputaciones, interconexión con otros procesos importantes (fondos, planes de pensiones, valores, domiciliaciones, etc). Basicamente lo que tenía montado banesto, que se migro a Santander y luego se llevo a bancos de fuera.
    votos: 0    karma: 6
     *   clinfo clinfo
  42. #44   ¿Nadie va a hablar de banksphere, ese maravilloso entorno donde por arte de magia arrastrando bolas haces páginas web? Y que es un truño de primera categoría claro,una amalgama de despropósitos y chapuzas sobre chapuzas
    votos: 1    karma: 20
    GuL GuL
  43. #45   No es el único chiste, no hay más que fijarse un poquito.

    Me encontré en Bancaja un mensaje de "estamos realizando cambios, disculpe las molestias", y era un puto div flotante puesto por encima del resto de la página!!! (Se que no es un fallo de seguridad, pero es una chapuza y, depende de lo que estuviesen cambiando, puede ser algo muy arriesgado. Una cutrada no aceptable para la web de un banco vamos).

    Le puse un display:none y a correr. (Eso si, no me atraví a hacer nada más que no fuese consultar los movimientos.. Juasjuas).
    votos: 1    karma: 16
     *   Undead Undead
  44. #46   #29 #30 no estoy de coña, yo desde luego no sabria desencriptar eso, supongo que para gente familiarizada con el hacking sera sencillo pero a mi me suena a chino
    votos: 0    karma: 11
  45. #47   Creo que nada puede superar los fallos de seguridad de Endesa.
    Puedes hacer un cambio de titular y de cuenta corriente de cobro con una simple llamada de teléfono. El titular puede ser cualquiera y la cuenta corriente también. No hay ninguna verificación posterior, comprobación de datos, etc.
    votos: 0    karma: 9
  46. #48   #44 los bancos y los organismos públicos tienen esa curiosa costumbre de inventar sus propios frameworks rebuscadísimos.
    Supongo que debe ser por razones de seguridad, pero habiendo cientos de plataformas requeteprobadas y baratitas nunca deja de sorprenderme que se atrevan a invertir millones de euros y de horas en reinventar la rueda.
    votos: 0    karma: 9
  47. #49   #48 La rueda es algo circular, pulido, perfecto...

    No hay ningun framework que sea perfecto. De hecho cada poco se reinventa la rueda en los frameworks web...
    votos: 0    karma: 10
  48. #50   A eso yo le llamo un Epic Critical Fail...
    votos: 0    karma: 6
  49. #51   #34 Pues a mi me pasó como #1 me urgía hacer unos trámites por teléfono pero a mi me pidieron unos datos que en ese momento no tenía. En ese momento me enfadé porque no puede solucionar mi problema pero precisamente decidí seguir operando con la misma compañía porque comprobé que era seguro. A día de hoy aún sigo con ellos porque me demostraron fiabilidad.
    votos: 1    karma: 13
  50. #52   #18 Yo descubrí un pequeño "fallo de diseño" a la hora de autenticarte en Ruralvia, fue sin querer, hice lo típico de po.er mal el pass por si había algo en la máquina desde la que accedía y me dejo entrar, me quede ojiplático, investigando un poco llegué a la conclusión de que daba lo mismo cuan larga fuese tu contraseña, solo validan los 8 primeros carácteres, el resto daba igual lo que pusiera, entraba igual.
    Mande un correo informando, diciendo que realice la prueba con 3 navegadores diferentes, la respuesta de ellos fue un, te equivocas todo está bien. 2 semanas después vi que ha ían corregido lo que detecté, no fueron ni para decir gracias por la información.
    votos: 0    karma: 10
  51. #53   #34 No habria dejado de operar con ellos porque no me lo hubiesen hecho

    Les pedi una cosa por si colaba, y estaba a la espera de que me pidiesen algun dato mas que pudiese confirmar mi identidad, pero personalmente me parece una falta de seguridad total que hagan una transferencia a una cuenta de fuera de España simplemente pidiendote los datos que pueden encontrar en un DNI.

    Que me hubiesen pedido datos como fechas de transferencias aproximadas, hecho una confirmacion con un codigo al movil, o incluso hacerme que me pasase por una oficina (Que ya les vale que tengas un servicio 24H de fontaneros, pero si el cajero jodido se traga tu tarjeta ya te puedes quedar con el culo al aire todo el fin de semana)

    A mi no me ofrecio garantias y por eso deje de operar con ellos hasta que cambiaron muchas cosas en temas de seguridad
    votos: 0    karma: 9
  52. #54   En todas las casas cuecen habas... revington.github.com/programming/2012/08/10/protege-tu-firma-digital-e
    Esto lo denuncié este verano y pasaron de mi.
    votos: 2    karma: 25
  53. #55   Hace un año largo encontré un XSS en una parte sensible de la página. Avisé a los de ISBAN. Aún estoy esperando a que lo arreglen.
    votos: 1    karma: 18
  54. #56   Yo animo a todos los que sean clientes del Santander a escribir al mediante el servicio de Atención al cliente para pedir explicaciones, igual si ven que a los clientes les importa lo tienen más en cuenta
    votos: 0    karma: 9
  55. #57   #53 Pues en cuanto a las compras por internet yo de momento no tengo ninguna queja; puesto que me la validan con un mensaje con un codigo al movil; ademas de esto tmb existen las tarjetas eCash ( o algo asi) las cuales tambien te dan seguridad a tu cuenta bancaria; ademas de que tambien recomiendo utlizar plataformas como paypal que tambien velan por ti
    votos: 0    karma: 6
  56. votos: 1    karma: 20
  57. #59   #4 sí, pero si compras un billete de avión tienes que identificarte obligatoriamente. No se pueden comprar anónimamente, como los billetes de metro. Si hay un pago de una tarjeta robada y el titular lo denuncia como fraudulento pueden identificar a quien ha hecho el pago.
    votos: 0    karma: 12
     *   Shotokax Shotokax
  58. #60   #58 me dice que mi tarjeta de credito es y׻{n4{y}k...
    votos: 0    karma: 11
  59. #61   Estoy con #56. Cuanto más os quejéis (usando servicios de atención al cliente y similares) más caso os harán. Normalmente a los profesionales que trabajan en esto no se les hace demasiado caso y es cuando llueven palos desde el lado de los clientes cuando por fin se les da algo de crédito.
    votos: 0    karma: 6
  60. #62   #60 Prueba con esto: home.paulschou.net/tools/xlate/

    Base64 es un tipo de codificación, no de cifrado
    votos: 0    karma: 10
  61. #63   #62 #60 Si leéis bien el enlace veréis que lo que se ve decodificando la cookie no es el número de tarjeta de crédito sino una serie de datos en formato xml
    votos: 1    karma: 16
  62. #64   #57 Por eso hablaba en pasado.
    No se cuanto tiempo llevas usando la tarjeta del Santander para hacer compras por internet, pero antes no hacian lo de la comprobacion con el movil cuando otras llevaban años haciendolo

    En general, tienen muchas cosas atrasadas, pero bueno, van mejorando
    votos: 0    karma: 9
  63. #65   #52 Lo habitual es lo que te sucedió a ti, sobretodo si es una empresa española. Lo de los bancos es de traca.
    votos: 0    karma: 6
comentarios cerrados

menéame