Portada
mis comunidades
otras secciones
#1:
Y digo yo. Alguien sabe Quien ha sido la consultora/carnica/ETT que ha realizado la página?
#22:
Por ejemplo, si tu cuenta es:
citibank.com/user/12345
Sólo tienes que cambiar algún número como:
citibank.com/user/12346
Y accedes a la cuenta de otra persona. Los atacantes usaron un secillo script que iba cambiando esos números y guardando la información mostrada, una y otra vez.
Dios, no puedo hacer más que descojonarme. Qué triste.
citibank.com/user/12345
Sólo tienes que cambiar algún número como:
citibank.com/user/12346
Y accedes a la cuenta de otra persona. Los atacantes usaron un secillo script que iba cambiando esos números y guardando la información mostrada, una y otra vez.
Dios, no puedo hacer más que descojonarme. Qué triste.
#2:
El mundo en el que vivimos es una mierda. Ni existen los valores y la profesionalidad. No tengo más que decir.
#13:
Trabajo desarrollando aplicaciones y portales web. Muchas veces no nos contratan las páginas por hacerlo a empresas más baratas.
Conozco varias páginas de esas que no nos contrataron donde puedes comprar colchones o instrumentos musicales a 1€.
Pero claro, la gente se piensa que esto es jauja.
Conozco varias páginas de esas que no nos contrataron donde puedes comprar colchones o instrumentos musicales a 1€.
Pero claro, la gente se piensa que esto es jauja.
#4:
El problema gordo es que citi debe ser con diferencia el banco mas hackeado de la historia. Que a estas alturas sigan sin aprender nada es fascinante.
Comentarios
Y digo yo. Alguien sabe Quien ha sido la consultora/carnica/ETT que ha realizado la página?
#1 Algún trabajo de instituto o algo, por que si no, no lo entiendo...
#1 un cuñado con el frontpage
#1 Accenture? No me extrañaria...
#29 Pues no me extrañaria. Huele a arturitos
El mundo en el que vivimos es una mierda. Ni existen los valores y la profesionalidad. No tengo más que decir.
El problema gordo es que citi debe ser con diferencia el banco mas hackeado de la historia. Que a estas alturas sigan sin aprender nada es fascinante.
#4 Lo que se puede a llegar a interpretar visto las multas que reciben que lo que aprendio fue: Sale más barato hacerlo mal que hacerlo bien.
Por ejemplo, si tu cuenta es:
citibank.com/user/12345
Sólo tienes que cambiar algún número como:
citibank.com/user/12346
Y accedes a la cuenta de otra persona. Los atacantes usaron un secillo script que iba cambiando esos números y guardando la información mostrada, una y otra vez.
Dios, no puedo hacer más que descojonarme. Qué triste.
Trabajo desarrollando aplicaciones y portales web. Muchas veces no nos contratan las páginas por hacerlo a empresas más baratas.
Conozco varias páginas de esas que no nos contrataron donde puedes comprar colchones o instrumentos musicales a 1€.
Pero claro, la gente se piensa que esto es jauja.
#13 Y que tiendas dices que son?
#15 jj Se dice el pecado no el pecador. Pero los campos hidden los carga el diablo.
¡Madre del amor hermoso!
Supongo que la agencia de protección de datos tomara cartas en el asunto. La multa debe de ser de ordago.
De todas formas estoy seguro que esto ha pasado por querer ahorrar costes y contratar a una subcontrata de una subcontrata de una subcontrata .... Hasta que llegas a unos picacódigos que en la India te hacen la web por cuatro perras, pero eso si no te esperes que sigan los protocolos especificados por la ISO 27000. Que me da la risa.
Si pagas una mierda tienes de resultado una mierda de producto. TicForTat lo que obtienes por lo que das.
Para quien no sepa de programación web, el fallo es básico, pero básico de cojones. Si fuese un error ortográfico sería como escribir "vamos haber que ha pasado".
Vamos, que no hay excusa posible.
#26 Yo diría que es más bien un "bamos ha ber que a pasado".
Una fallo igual tenía la página de la Cruz Roja, podías acceder a cualquier cuenta de los socios, con sus datos bancarios, el importe de las donaciones, la dirección, vamos, todo. Me puse en contacto con ellos y les estuve ayudando a arreglarlo, porque por 3 veces conseguí meterme en la cuenta de otro usuario usando diferentes técnicas, aunque decían que ya lo habían arreglado. Pero fueron muy majos y muy agradecidos, todo hay que decirlo.
Que curioso, si intentas compartirlo en el caralibro aparece "Este mensaje incluye contenido bloqueado que anteriormente se denunció como ofensivo o correo no deseado. Ponte en contacto con nosotros si crees que se trata de un error". Parece que está molestando a alguien..
Referencia directa a objeto insegura. Lleva ya unos cuantos años en el TOP 10 de la OWASP. No tiene perdón de dios... https://www.owasp.org/index.php/Top_10_2010-A4
Os recuerdo que además de logearos, para operar necesitáis una clave de operaciones y muchas entidades necesitan una tarjeta de coordenada, un generador de Claves tipo token o un SMS a un móvil previamente identificado.
La noticia habla de cuentas Comprometidas no de robos
#19 efectivamente.
In the Citi attack, the hackers did not obtain expiration dates or the three-digit security code on the back of the card, which will make it harder for thieves to use the information to commit fraud.
Vía NY Times.
#19 Estoy de acuerdo e incluso te he votado positivo. Pero no es 100% cierto.
Por ponerte un ejemplo, la mayoria de pagos (y hago muchos) si que me piden los tres digitos traseros, pero al dar de alta la tarjeta en amazon, solo te pide el numero y la fecha de expiración, y esta es facil de averiguar si sabes cuando emitieron la tarjeta (por ejemplo mirando el extracto bancario).
Lamentablemente parece que en Citibank no aprenden, no es la primera vez que les sucede algo así.
Improvisando, algunos mandamientos de seguridad del desarrollador web:
1. Validaras cada variable POST y GET, y campo de los formularios que te lleguen desde el navegador.
2. Escaparas cada variable que uses contra la base de datos.
3. Comprobaras que el usuario este autenticado en cada petición (por ajax tambien)
4. No guardaras claves en texto plano
5. No enviaras claves sin https ( y si envías el hash hecho en Javascript mejor)
6. Anotaras todo lo que sucede en un log, y los fallos además en un segundo log.
Por otro lado, cuando desde el navegador te llega el ID de un registro de una tabla, y tienes que hacer algo con el (leerlo, borrarlo) en lugar de suponer que es valido, o hacer varias consultas a la DB simplemente podemos poner una clausula extra en el WHERE:
"SELECT * FROM `bank_account` WHERE `account_id` = $accid_safe AND `account_user` = $userid_safe;"
Gracias a esto incluso si desde el navegador nos quieren engañar con un numero de cuenta que no corresponde estaríamos asegurados.
hacer paginillas y no securizarlas por que no hay tiempo ni presupuesto vale...pero hacer un banco y no pensar en todas las posibles tretas, es realmente de poco profesional
Rodarán cabezas... espero.
#6 Nah, no necesariamente.
algo asi como lo de "te regalo un mes de PSN plus", sinceramente estos "hackeos" son una campaña de concienzacion cojonuda y de atraer nuevo publico y ventas(hasta me da por pensar mal... ) .
"Y aprovechando la ocasion y preocupandonos por su seguridad queremos ofrecerle esta gran oportunidad de tener sus datos y ahorros bien cubiertos gracias al nuevo seguro hecho a medida para usted y sus necesidades/relaciones con las neuvas tecnologias. Por solo 140€ anuales usted tendra un seguro que le cubrira todo riesgo online."
Y a hacer caja.
luego le hechan la culpa a los hackers o vete a saber,valla pardillos.
La verdad, como usuario de banca electrónica esto me acojona, espero que no sea lo común.
Ese truco de cambiar parte de la url es mas viejo que internet o casi creía que ya no funciona en ningún sitio.
Ese mismo método se puede usar para ver el currículum de cualquiera una vez te has logueado en el portal Feina Activa del SOC... Con ID's consecutivas y todo. Ya sé que el CV no es una cuenta bancaria, pero también contiene datos personales. Penoso.
#12 ya se lo has comunicado al departamento correspondiente?? Y si no hacen caso en un tiempo adecuado, deberias ponerlo en conocimiento de la AOPD.
Sé de buena tinta que una gran Caja de Madrid tenía en su antigua oficina virtual el mismo problema. Entrabas como cliente, cambiamos el id_usuario por otro en la URL y ya podias ver las cuentas del otro usuario.
Incluso podias operar con el usuario suplantado, claro con la clave del usuario original. Aún asi podias coger la pasta y huir del país...
Yo mismo lo comprobe en pruebas de vulnerabilidad en producción con el objetivo de migrarla...
La empresa que lo hizo en su momento, IBM España.
Por si alguien no lo sabe IBM está llenita de becarios universitarios que no han acabado la carrera.
Vamos lo de usar identificadores en la URL es un fallo tipico de seguridad, normalmente hecho por gente con poca experiencia.
juas asi se robaban en clanbase hace la tira de años
Meneantes probando si se puede hacer lo mismo con su cuenta bancaria online en 3, 2, 1 ....
¿Esto no es aplicable a la web de Citibank España, no? Temo por mi tarjeta de crédito.
Patético, yo no sé a qué clase de gente contratan muchas grandes empresas para hacer páginas web. Es que ese fallo es de manual.
#18 yo he llamado a citybank al ver la notícia y la "colombiana"(le he preguntado dónde estaba llamando) no sabía nada. Directamente me ha dicho que "la operación es segura" por lo cual no me fio.
La OCU me ha dicho que si podemos asegurar de que realmente existe la posibilidad de consultar otras cuentas, denunciemos el hecho a:
* Denúncia a la AEPD
* Denúncia a la policía
* Aviso/Denúncia al SAT de citibank, dejándoles claro que no pagaremos ninguna de las transacciones que no hayamos efectuado.
Es lo que ocurre cuando el que programa el servicio es alguien a quien pagan 800€ con un contrato temporal y le hacen estar un par de horas extras por la cara.
Las carnicas son asi
Psss, de Citibank ya no me sorprende nada.
Y luego los llaman hackers...
Estos no fueron aquellos a los que se les trabo la pass de admin en un txt accesible desde http? (citybank.es/admin.txt)
en teoría el descubridor fue a mirar el robots.txt y se le fue la pinza escribiendo.. Ya esta corregido, de hecho.
Al igual que CitiBank... no doy crédito.
A mi me huele fatal. Teniendo en cuenta la política sectaria-piramidal que tiene esta empresa, no me extrañaría que todo venga de alguien de dentro.
Si prácticamente desde que uso internet he jugado a cambiar las URL para ver a donde me llevaban, debería ser imposible para un banco tener un fallo semejante.
una cosa es entrar y mirar, y otra poder hacer algo más, lo peor que se te quea mal cuerpo, de ver tanto saldo......:))