EDICIóN GENERAL
329 meneos
 

Como vulnerar la protección de datos con un “he olvidado mi contraseña”

La web del banco Santander podría estar vulnerando el deber de secreto al revelar la identidad de sus clientes si se utiliza con picaresca el mecanismo que tiene configurado para recuperar la contraseña en caso de olvido. Como efecto colateral, sería posible que un usuario mal intencionado bloquease el acceso a los clientes de la banca online del Santander.

| etiquetas: bsch , lopd , datos personales , seguridad
190 139 1 K 718 mnm
190 139 1 K 718 mnm
#2 #5

Si vais a la web de La Caixa y haceis click en "Recordar Contraseña", vereis que pide el número de tarjeta de crédito y la fecha de caducidad de ésta para recordar la contraseña.
¿Y este es el grandísimo banco español?
Pues si, es una putada :-) un aplauso al que ha descubierto el error.

Un buen error informatico.
#16 la seguridad informática (según cualquier manual de seguridad) tiene 3 vertientes (que son además las que suelen auditarse): confidencialidad, integridad y disponibilidad.
En efecto no accedes a ver el saldo de una cuenta, pero sí que quiebras la "disponibilidad" de la información de ese usuario, porque pueden estar bloqueándote la cuenta cada 2 segundos, y no todos tienen una sucursal debajo de su casa, ni a todos les apetece llamar a un 902 para reestablecerla.
#2 cambiarán las cosas cuando a algún gracioso le de por hacer un script y bloquee las cuentas de miles de clientes por superar el número máximo de intentos fallidos.
A Paris Hilton le robaron una cuenta porque tenía de pregunta de seguridad ¿Cuál es el nombre de tu mascota? Y claro su chihuahua es más conocido en el mundo rosa de EEUU que aquí la Andreíta de la Esteban... :roll:
Yo después de probar varios, cada vez me gusta más el sistema de ING Direct. El mejor compromiso entre la "comodidad" de un password y la seguridad de una libreta de "claves de un solo uso".
espero que al menos sean lo suficientemente habiles como para bloquear una ip y mac que les empieze a realizar intentos de conexion de varias cuentas bloqueandolas por no haber conseguido una clave valida...
#17 Respondía a #12, que explícitamente afirmaba que se podría llegar a conseguir acceso (lo cual es falso) y que parecía temer por sus ahorros al tiempo que revelaba en Menéame el formato de su contraseña. xD
No es sólo problema del Santander, en La Caixa también se identifican los usuarios con su DNI.
Si pones tu pin meneame lo bloquea automáticamente: * * * * ;)
#6 El tema del DNI como nombre de usuario en La Caixa, lo puse por otro problema que explica el artículo, que es que con un script se pueden bloquear cuentas simplemente probando DNIs en el acceso a usuario, sin entrar en lo de "recordar contraseña".
Algunos estáis un poco liados.

De entrada, lo que comenta el artículo es cierto. Puede intuirse quien tiene una cuenta en el BSCH con ese mecanismo.

Lo que no es cierto es lo de la entrada parcial de dígitos en la contraseña.

En el santander hay 2 contraseñas.

Con la primera, entras a la web en modo consulta. No puedes operar. Al realizar una operación, te piden la segunda contraseña (la clave electrónica que le llaman) y es ahí donde solo realizas una entrada parcial.

Esa…   » ver todo el comentario
Bueno, ¿supongo que habrá avisado para que intenten solucionar el problema no?
#12 Esa probabilidad te la acabas de sacar de la manga. La contraseña la pones tú. Si eres tan pardillo como para poner la misma clave de cuatro dígitos de tu tarjeta, entonces la debilidad de la contraseña es culpa tuya y sólo tuya.

Decir que esto es un problema de seguridad es amarillismo. Es una violación de la Ley de Protección de Datos a causa de un mal diseño de usabilidad. Pero no es más que eso.

Y si te bloquean una cuenta bajas a la sucursal de la esquina y solucionado. De nuevo…   » ver todo el comentario
#31 Pues podrías haber seguido leyendo y ver que en #18 ya estaba todo contestado. La seguridad purista teórica y la logística real de un servicio no tienen mucho que ver en la práctica.

Por cierto, la vulnerabilidad de que hablamos no permite obtener logins de acceso válidos como dices, sino solamente validar logins aleatorios. No es lo mismo ni de lejos.
#18 jajajajaj; efectivamente conseguir acceso no se consigue :-)
El tratamiento web del Santander es realmente nefasto. Recuerdo como había que registrarse por narices en Universia, el 'portal' para universidades impuesto a golpe de talonario tras acuerdos con estas últimas.

El sistema de registro es sonrrojante, pidiendote datos como el DNI y con un sistema de comprobación para ver que no te lo inventas (hay una anécdota curiosa que me paso que busqué varias fotos de DNIs en Google y todos los números que instroduje decía que ya estaban en su base de…   » ver todo el comentario
#6 algo bien hecho entonces :-)
#16 #18 #19 No tengo ninguna cuenta en el Santander (uy!, ya estoy dando información...). Lo de los cuatro dígitos es porque llegados a este punto: www.samuelparra.com/wp-content/uploads/2009/02/san03.jpg tienes que acertar 4 números, y si los aciertas, te dan una clave nueva, con lo que consigues acceso. Si tienes tres oportunidades, y siempre te piden la misma situación de los números, tienes 3 probabilidades entre 1000 posibles de acertar, por eso lo de 1/333,3. Si fallas, puedes…   » ver todo el comentario
Jdr, es que se podría llegar a conseguir el acceso, y además, a cambio de haber bloqueado un montón de cuentas antes, sin más que fijar cuatro números e ir probando en cada nif. Si tienes tres intentos para cada nif, tienes una probabilidad de acierto de 1/333,3 y eso es mucho, si además puedes probar en miles de nifs, es posible que acabes accediendo a alguna cuenta.
Yo un dia me intente dar de alta en la opcion de compras por internet con unas caracteristicas pero tardaba mucho en llegarme a casa, asi que un dia a las 2 de la mañana llame al telefono de atencion al cliente y respondiendo preguntas del estilo de "cuando fue tu ultimo movimiento" y cosas asi, acabaron dandome la clave

A mi me vino de puta madre porque me ahorro mucho papeleo y tiempo de espera, pero esta claro que en cuanto pueda me dare de baja, ya que no me parecia nada seguro…   » ver todo el comentario
#16 si puedes obtener logins de acceso válidos al sistema, es un problema de seguridad.

Si puedes evitar que un usuario acceda al sistema (bloqueando su cuenta) es un problema de seguridad, y grave.

Edit: Veo que #17 lo ha dejado claro :-)
Mierda, creo que debería ir pensando en cambiar de banco. #12 La clave tiene más de cuatro dígitos, pero aún así.
No lo veo tan grave... primero tienen que conseguir tu número de DNI, y si tanto te preocupa se puede cambiar el nombre de usuario.

Salu2!!
No se puede cambiar el usuario.
El de la caixa es el dni más dos números, aunque sigue siendo inseguro.
#20 a ver que pruebe Mi pin es 1234 ouch!
#23, es verdad tambien pasa con la cuenta del banco, ah, ten en cuenta que tu si que ves tus numeros pero no el resto, por ejemplo yo pongo **** y efectivamente leo ****
mi pin es * * * *, vivo en ▲▲▲▲▲▲▲▲ y mi correo es invidindo_tena@gmail.com

edit: no lo filtra todo, no funciona creo.
Errónea, no vulnera la protección de datos; los datos directamente no están protegidos.

:-P
¡Oh! ¡¡Dios mío!! ¡¡Pueden adivinar si tengo o no una cuenta en el BSCH!! Qué problemón. ¡¡Y me pueden bloquear la cuenta!! ¡Qué malotes!....
[/SARCASMO]

Ni que fuese un gran problema. Molestia, sí. Pero no pasa de ahí. Amarillismo total.
comentarios cerrados

menéame