La web del banco Santander podría estar vulnerando el deber de secreto al revelar la identidad de sus clientes si se utiliza con picaresca el mecanismo que tiene configurado para recuperar la contraseña en caso de olvido. Como efecto colateral, sería posible que un usuario mal intencionado bloquease el acceso a los clientes de la banca online del Santander.
Si vais a la web de La Caixa y haceis click en "Recordar Contraseña", vereis que pide el número de tarjeta de crédito y la fecha de caducidad de ésta para recordar la contraseña.
#4:
Ya lo decía Mitnick, el mejor hacking se consigue mediante "ingeniería social"
Si vais a la web de La Caixa y haceis click en "Recordar Contraseña", vereis que pide el número de tarjeta de crédito y la fecha de caducidad de ésta para recordar la contraseña.
#16 la seguridad informática (según cualquier manual de seguridad) tiene 3 vertientes (que son además las que suelen auditarse): confidencialidad, integridad y disponibilidad.
En efecto no accedes a ver el saldo de una cuenta, pero sí que quiebras la "disponibilidad" de la información de ese usuario, porque pueden estar bloqueándote la cuenta cada 2 segundos, y no todos tienen una sucursal debajo de su casa, ni a todos les apetece llamar a un 902 para reestablecerla.
#2 cambiarán las cosas cuando a algún gracioso le de por hacer un script y bloquee las cuentas de miles de clientes por superar el número máximo de intentos fallidos.
Yo después de probar varios, cada vez me gusta más el sistema de ING Direct. El mejor compromiso entre la "comodidad" de un password y la seguridad de una libreta de "claves de un solo uso".
A Paris Hilton le robaron una cuenta porque tenía de pregunta de seguridad ¿Cuál es el nombre de tu mascota? Y claro su chihuahua es más conocido en el mundo rosa de EEUU que aquí la Andreíta de la Esteban...
espero que al menos sean lo suficientemente habiles como para bloquear una ip y mac que les empieze a realizar intentos de conexion de varias cuentas bloqueandolas por no haber conseguido una clave valida...
#17 Respondía a #12, que explícitamente afirmaba que se podría llegar a conseguir acceso (lo cual es falso) y que parecía temer por sus ahorros al tiempo que revelaba en Menéame el formato de su contraseña.
#6 El tema del DNI como nombre de usuario en La Caixa, lo puse por otro problema que explica el artículo, que es que con un script se pueden bloquear cuentas simplemente probando DNIs en el acceso a usuario, sin entrar en lo de "recordar contraseña".
De entrada, lo que comenta el artículo es cierto. Puede intuirse quien tiene una cuenta en el BSCH con ese mecanismo.
Lo que no es cierto es lo de la entrada parcial de dígitos en la contraseña.
En el santander hay 2 contraseñas.
Con la primera, entras a la web en modo consulta. No puedes operar. Al realizar una operación, te piden la segunda contraseña (la clave electrónica que le llaman) y es ahí donde solo realizas una entrada parcial.
Esa misma entrada parcial es la que te piden cuando llamas por teléfono. De esa manera, un operador telefónico no puede quedarse con tu clave, salvo que realices muchísimas operaciones y siempre vayas a parar al mismo operador.
Por cierto, hace años el Santander permitía claves alfanuméricas para la contraseña y me obligaron a cambiar a una numérica. En aquel momento les envié un email quejándome, ya que se reducía el dominio de posibles valores a usar como clave. Me contestaron que su seguridad era la polla, y bla, bla, bla.
#12 Esa probabilidad te la acabas de sacar de la manga. La contraseña la pones tú. Si eres tan pardillo como para poner la misma clave de cuatro dígitos de tu tarjeta, entonces la debilidad de la contraseña es culpa tuya y sólo tuya.
Decir que esto es un problema de seguridad es amarillismo. Es una violación de la Ley de Protección de Datos a causa de un mal diseño de usabilidad. Pero no es más que eso.
Y si te bloquean una cuenta bajas a la sucursal de la esquina y solucionado. De nuevo un problema de usabilidad y no de seguridad. Nadie accede a tus datos ni a tu dinero.
Pues no he visto yo chapuzas de película de miedo ni nada en sistemas bancarios. Que una sin consecuencias se vea en una "web", se me ocurre que es de lo menos malo que puede pasar.
#31 Pues podrías haber seguido leyendo y ver que en #18 ya estaba todo contestado. La seguridad purista teórica y la logística real de un servicio no tienen mucho que ver en la práctica.
Por cierto, la vulnerabilidad de que hablamos no permite obtener logins de acceso válidos como dices, sino solamente validar logins aleatorios. No es lo mismo ni de lejos.
El tratamiento web del Santander es realmente nefasto. Recuerdo como había que registrarse por narices en Universia, el 'portal' para universidades impuesto a golpe de talonario tras acuerdos con estas últimas.
El sistema de registro es sonrrojante, pidiendote datos como el DNI y con un sistema de comprobación para ver que no te lo inventas (hay una anécdota curiosa que me paso que busqué varias fotos de DNIs en Google y todos los números que instroduje decía que ya estaban en su base de datos luego a alguien más se le ocurrió mi idea antes ) y otras lindezas que solo valían para que el registro te permitiera por ejemplo acceder a tu matrícula o a zonas de configuración de datos que te pedían en la propia Universidad.
Tras unos 20 minutos intentando darme de alta, tras haberles dado mis datos, tras haber cumplido mi parte.... error, no se puede acceder a la página solicitada. Y desde entonces recibo toneladas de basura en el correo.
#16#18#19 No tengo ninguna cuenta en el Santander (uy!, ya estoy dando información...). Lo de los cuatro dígitos es porque llegados a este punto: http://www.samuelparra.com/wp-content/uploads/2009/02/san03.jpg tienes que acertar 4 números, y si los aciertas, te dan una clave nueva, con lo que consigues acceso. Si tienes tres oportunidades, y siempre te piden la misma situación de los números, tienes 3 probabilidades entre 1000 posibles de acertar, por eso lo de 1/333,3. Si fallas, puedes volver a intentarlo con otro nif, y así sucesivamente. Lógicamente, esto no llegaría muy lejos haciéndolo a mano, pero sí con un script.
Si esto es así, lo cual solo sé por lo leído en el enlace (y tampoco dediqué mucho tiempo a darle vueltas), no es falso que se pueda conseguir un acceso.
Yo un dia me intente dar de alta en la opcion de compras por internet con unas caracteristicas pero tardaba mucho en llegarme a casa, asi que un dia a las 2 de la mañana llame al telefono de atencion al cliente y respondiendo preguntas del estilo de "cuando fue tu ultimo movimiento" y cosas asi, acabaron dandome la clave
A mi me vino de puta madre porque me ahorro mucho papeleo y tiempo de espera, pero esta claro que en cuanto pueda me dare de baja, ya que no me parecia nada seguro
Se portaron muy bien, ya que lo necesitaba y les pregunte si habia algun metodo para evitar toda la espera, pero no me parece muy profesional ni algo que deba ser permitido en la politica de una empresa (Si lo hizo a nivel particular me parece mas grave aun)
#25: si cada vez que te equivocas te vuelven a pedir los mismos cuatro dígitos sería ya como para mandarles al paro directamente. Me encantaría que algún cliente del Santander lo probara para reírnos un rato...
Jdr, es que se podría llegar a conseguir el acceso, y además, a cambio de haber bloqueado un montón de cuentas antes, sin más que fijar cuatro números e ir probando en cada nif. Si tienes tres intentos para cada nif, tienes una probabilidad de acierto de 1/333,3 y eso es mucho, si además puedes probar en miles de nifs, es posible que acabes accediendo a alguna cuenta.
#23, es verdad tambien pasa con la cuenta del banco, ah, ten en cuenta que tu si que ves tus numeros pero no el resto, por ejemplo yo pongo **** y efectivamente leo ****
¡Oh! ¡¡Dios mío!! ¡¡Pueden adivinar si tengo o no una cuenta en el BSCH!! Qué problemón. ¡¡Y me pueden bloquear la cuenta!! ¡Qué malotes!....
[/SARCASMO]
Ni que fuese un gran problema. Molestia, sí. Pero no pasa de ahí. Amarillismo total.
Comentarios
Ya lo decía Mitnick, el mejor hacking se consigue mediante "ingeniería social"
#2 #5
Si vais a la web de La Caixa y haceis click en "Recordar Contraseña", vereis que pide el número de tarjeta de crédito y la fecha de caducidad de ésta para recordar la contraseña.
¿Y este es el grandísimo banco español?
Pues si, es una putada un aplauso al que ha descubierto el error.
Un buen error informatico.
Bastante grave, ¿No?
#16 la seguridad informática (según cualquier manual de seguridad) tiene 3 vertientes (que son además las que suelen auditarse): confidencialidad, integridad y disponibilidad.
En efecto no accedes a ver el saldo de una cuenta, pero sí que quiebras la "disponibilidad" de la información de ese usuario, porque pueden estar bloqueándote la cuenta cada 2 segundos, y no todos tienen una sucursal debajo de su casa, ni a todos les apetece llamar a un 902 para reestablecerla.
#2 cambiarán las cosas cuando a algún gracioso le de por hacer un script y bloquee las cuentas de miles de clientes por superar el número máximo de intentos fallidos.
Yo después de probar varios, cada vez me gusta más el sistema de ING Direct. El mejor compromiso entre la "comodidad" de un password y la seguridad de una libreta de "claves de un solo uso".
A Paris Hilton le robaron una cuenta porque tenía de pregunta de seguridad ¿Cuál es el nombre de tu mascota? Y claro su chihuahua es más conocido en el mundo rosa de EEUU que aquí la Andreíta de la Esteban...
espero que al menos sean lo suficientemente habiles como para bloquear una ip y mac que les empieze a realizar intentos de conexion de varias cuentas bloqueandolas por no haber conseguido una clave valida...
#17 Respondía a #12, que explícitamente afirmaba que se podría llegar a conseguir acceso (lo cual es falso) y que parecía temer por sus ahorros al tiempo que revelaba en Menéame el formato de su contraseña.
No es sólo problema del Santander, en La Caixa también se identifican los usuarios con su DNI.
#20 ¿Es eso cierto?, tengo que intentarlo * * * *.
Si pones tu pin meneame lo bloquea automáticamente: * * * *
#6 El tema del DNI como nombre de usuario en La Caixa, lo puse por otro problema que explica el artículo, que es que con un script se pueden bloquear cuentas simplemente probando DNIs en el acceso a usuario, sin entrar en lo de "recordar contraseña".
Algunos estáis un poco liados.
De entrada, lo que comenta el artículo es cierto. Puede intuirse quien tiene una cuenta en el BSCH con ese mecanismo.
Lo que no es cierto es lo de la entrada parcial de dígitos en la contraseña.
En el santander hay 2 contraseñas.
Con la primera, entras a la web en modo consulta. No puedes operar. Al realizar una operación, te piden la segunda contraseña (la clave electrónica que le llaman) y es ahí donde solo realizas una entrada parcial.
Esa misma entrada parcial es la que te piden cuando llamas por teléfono. De esa manera, un operador telefónico no puede quedarse con tu clave, salvo que realices muchísimas operaciones y siempre vayas a parar al mismo operador.
Por cierto, hace años el Santander permitía claves alfanuméricas para la contraseña y me obligaron a cambiar a una numérica. En aquel momento les envié un email quejándome, ya que se reducía el dominio de posibles valores a usar como clave. Me contestaron que su seguridad era la polla, y bla, bla, bla.
Bueno, ¿supongo que habrá avisado para que intenten solucionar el problema no?
#12 Esa probabilidad te la acabas de sacar de la manga. La contraseña la pones tú. Si eres tan pardillo como para poner la misma clave de cuatro dígitos de tu tarjeta, entonces la debilidad de la contraseña es culpa tuya y sólo tuya.
Decir que esto es un problema de seguridad es amarillismo. Es una violación de la Ley de Protección de Datos a causa de un mal diseño de usabilidad. Pero no es más que eso.
Y si te bloquean una cuenta bajas a la sucursal de la esquina y solucionado. De nuevo un problema de usabilidad y no de seguridad. Nadie accede a tus datos ni a tu dinero.
Pues no he visto yo chapuzas de película de miedo ni nada en sistemas bancarios. Que una sin consecuencias se vea en una "web", se me ocurre que es de lo menos malo que puede pasar.
#31 Pues podrías haber seguido leyendo y ver que en #18 ya estaba todo contestado. La seguridad purista teórica y la logística real de un servicio no tienen mucho que ver en la práctica.
Por cierto, la vulnerabilidad de que hablamos no permite obtener logins de acceso válidos como dices, sino solamente validar logins aleatorios. No es lo mismo ni de lejos.
El tratamiento web del Santander es realmente nefasto. Recuerdo como había que registrarse por narices en Universia, el 'portal' para universidades impuesto a golpe de talonario tras acuerdos con estas últimas.
) y otras lindezas que solo valían para que el registro te permitiera por ejemplo acceder a tu matrícula o a zonas de configuración de datos que te pedían en la propia Universidad.
El sistema de registro es sonrrojante, pidiendote datos como el DNI y con un sistema de comprobación para ver que no te lo inventas (hay una anécdota curiosa que me paso que busqué varias fotos de DNIs en Google y todos los números que instroduje decía que ya estaban en su base de datos luego a alguien más se le ocurrió mi idea antes
Tras unos 20 minutos intentando darme de alta, tras haberles dado mis datos, tras haber cumplido mi parte.... error, no se puede acceder a la página solicitada. Y desde entonces recibo toneladas de basura en el correo.
No me extraña que sean los primeros jugando así.
#18 jajajajaj; efectivamente conseguir acceso no se consigue
#6 algo bien hecho entonces
#16 #18 #19 No tengo ninguna cuenta en el Santander (uy!, ya estoy dando información...). Lo de los cuatro dígitos es porque llegados a este punto: http://www.samuelparra.com/wp-content/uploads/2009/02/san03.jpg tienes que acertar 4 números, y si los aciertas, te dan una clave nueva, con lo que consigues acceso. Si tienes tres oportunidades, y siempre te piden la misma situación de los números, tienes 3 probabilidades entre 1000 posibles de acertar, por eso lo de 1/333,3. Si fallas, puedes volver a intentarlo con otro nif, y así sucesivamente. Lógicamente, esto no llegaría muy lejos haciéndolo a mano, pero sí con un script.
Si esto es así, lo cual solo sé por lo leído en el enlace (y tampoco dediqué mucho tiempo a darle vueltas), no es falso que se pueda conseguir un acceso.
Yo un dia me intente dar de alta en la opcion de compras por internet con unas caracteristicas pero tardaba mucho en llegarme a casa, asi que un dia a las 2 de la mañana llame al telefono de atencion al cliente y respondiendo preguntas del estilo de "cuando fue tu ultimo movimiento" y cosas asi, acabaron dandome la clave
A mi me vino de puta madre porque me ahorro mucho papeleo y tiempo de espera, pero esta claro que en cuanto pueda me dare de baja, ya que no me parecia nada seguro
Se portaron muy bien, ya que lo necesitaba y les pregunte si habia algun metodo para evitar toda la espera, pero no me parece muy profesional ni algo que deba ser permitido en la politica de una empresa (Si lo hizo a nivel particular me parece mas grave aun)
#25: si cada vez que te equivocas te vuelven a pedir los mismos cuatro dígitos sería ya como para mandarles al paro directamente. Me encantaría que algún cliente del Santander lo probara para reírnos un rato...
Jdr, es que se podría llegar a conseguir el acceso, y además, a cambio de haber bloqueado un montón de cuentas antes, sin más que fijar cuatro números e ir probando en cada nif. Si tienes tres intentos para cada nif, tienes una probabilidad de acierto de 1/333,3 y eso es mucho, si además puedes probar en miles de nifs, es posible que acabes accediendo a alguna cuenta.
#16 si puedes obtener logins de acceso válidos al sistema, es un problema de seguridad.
Si puedes evitar que un usuario acceda al sistema (bloqueando su cuenta) es un problema de seguridad, y grave.
Mierda, creo que debería ir pensando en cambiar de banco. #12 La clave tiene más de cuatro dígitos, pero aún así.
No lo veo tan grave... primero tienen que conseguir tu número de DNI, y si tanto te preocupa se puede cambiar el nombre de usuario.
Salu2!!
#20 a ver que pruebe Mi pin es 1234 ouch!
#23, es verdad tambien pasa con la cuenta del banco, ah, ten en cuenta que tu si que ves tus numeros pero no el resto, por ejemplo yo pongo **** y efectivamente leo ****
mi pin es * * * *, vivo en ▲▲▲▲▲▲▲▲ y mi correo es invidindo_tena@gmail.com
Errónea, no vulnera la protección de datos; los datos directamente no están protegidos.
El de la caixa es el dni más dos números, aunque sigue siendo inseguro.
No se puede cambiar el usuario.
¡Oh! ¡¡Dios mío!! ¡¡Pueden adivinar si tengo o no una cuenta en el BSCH!! Qué problemón. ¡¡Y me pueden bloquear la cuenta!! ¡Qué malotes!....
[/SARCASMO]
Ni que fuese un gran problema. Molestia, sí. Pero no pasa de ahí. Amarillismo total.