7 Millones de tarjetas Cuenta RUT Banco Estado Vulnerables a hackers

Tema en 'Cementerio De Temas' iniciado por walox, 26 Nov 2014.

Estado del Tema:
Cerrado para nuevas respuestas
  1. walox

    walox Usuario Habitual nvl.3 ★
    7/41

    Registrado:
    19 Ago 2007
    Mensajes:
    22.596
    Me Gusta recibidos:
    8
    [​IMG]

    Joshua Provoste, uno de nuestros Security Researcher’s en Security Labs, SecurityLabs.cl recientemente publicó un artículo sobre increíbles y graves vulnerabilidades en la plataforma web de Banco Estado.Se especula que desde hace meses, Banco Estado mantiene grietas de seguridad que permiten, entre otras cosas, cambiar la contraseña de acceso online, y los datos de todos los clientes del banco, exponiendo de esta forma a millones de personas que usan Cuenta RUT, y otras cuentas bancarias.Mientras tratamos de comunicarnos con el banco y su departamento de informática (hasta el momento, Banco Estado no se ha pronunciado oficialmente sobre esto), reproducimos acá fielmente, el artículo que Joshua Provoste publicó durante el día de ayer. Además, invitamos a todas las personas que usan Cuenta RUT de Banco Estado, a que tengan mucho resguardo y cuidado con el uso de sus tarjetas y contraseñas, ya que el artículo es bastante explícito y muestra la profundidad del problema.A continuación:Motivado por un aviso de publicidad en Banco Estado para descargar el software Detect Safe Browsing, advertí graves vulnerabilidades por medio de las cuales Banco Estado ha expuesto durante varios meses las cuentas bancarias de todos los clientes Cuenta RUT (y probablemente otros tipos de cuentas). Banco Estado ha roto todas las políticas de privacidad y protección de manera increíble.Descarga desprotegida & XSSDetect Safe Browsing de Easy Solutions INC fue el punto de partida, ya que es una aplicación supuestamete exclusiva para clientes de Banco Estado, accesible sólo por medio de una cuenta de usuario, pero en la práctica se puede descargar sin sesión. Incluso, podemos ver cómo dicha URL ya ha sido objeto de explotación para ataques tipo XSS (Cross-site Scripting), según los resultados de búsqueda y la caché de Google. Pero no es lo peor, ¡esto es sólo el comienzo! Toma tu cuenta RUT y partir de ahora guárdala.

    [​IMG]

    Fuzzing & SQL InjectionFue entonces cuando decidí volver a ingresar con mi cuenta de usuario al sitio de Banco Estado para poner esta vez más atención en el funcionamiento de la interfaz web, logrando advertir que es posible, por medio de fuzzing, acceder a planillas de uso interno del banco. Para mi sorpresa, además, en cada cambio de acceso la nueva URL arroja un número en el extremo superior izquierdo, mostrando de esta forma que además de fuzzing es vulnerable a ataques de SQLi (SQL Injection).

    [​IMG][​IMG]

    Exposición de base de datos de clientesDe manera extraordinaria, también es posible acceder a la base de datos completa de personas y empresas que han obtenido devoluciones de dinero, filtrando así números de cuentas, nombres completos y dineros de cientos o quizá miles de usuarios y compañías en Chile:

    [​IMG]

    Cambios arbitrarios de datos y contraseñasComo si fuera poco, aunque parezca increíble, es posible “actualizar” los datos de cualquier cliente sin tener la contraseña y sin acceder bajo una sesión de login:

    [​IMG][​IMG]

    Y para colmo, no sólo es posible cambiar arbitrariamente los datos de los clientes, sino que además podemos resetear la contraseña de acceso web de todas las Cuentas RUT. Increíble, pero cierto.

    [​IMG][​IMG][​IMG]

    XSS, Inyección de HTML & Ataques de Ingeniería SocialComo han de imaginarse, mi asombro era gigante. Sin embargo, quedé con la boca abierta al percatar que después de todo lo anterior, ¡podía modificar la web! Así es, señoras y señores, el sitio de Banco Estado es tan crítico, que se puede armar un buen plan de Ingeniería Social para realizar un ataque masivo a nivel nacional con el objeto de robar contraseñas de tarjetas bancarias. ¿Cómo? Facil, inyectando un payload acorde a la web en donde se realice un call to action para que la víctima haga click sobre él y lo lleve a una web de phishing a través de la misma página web oficial. ¡Una mina de oro para carding!

    [​IMG]


    Link original --> SecurityLabs
     
    #1 walox, 26 Nov 2014
    Última edición: 26 Nov 2014
  2. ★►ѶѦүѺ◄★

    ★►ѶѦүѺ◄★ Usuario Leyenda nvl.7 ★ ★ ★ ★ ★
    712/812

    Registrado:
    24 Jul 2008
    Mensajes:
    161.999
    Me Gusta recibidos:
    217
  3. Sakowe

    Sakowe Usuario Nuevo nvl. 1
    17/41

    Registrado:
    10 Ene 2009
    Mensajes:
    100
    Me Gusta recibidos:
    1
    piensa en todas las maravillosas posibilidades.
     
  4. d3pr3s1v0

    d3pr3s1v0 Usuario Nuevo nvl. 1
    16/41

    Registrado:
    17 Nov 2014
    Mensajes:
    707
    Me Gusta recibidos:
    0
    crackers no hackers....
    me sorprende que sepan algo de informática, pensaba que eran unos cerdos que nunca miraban al cielo.
     
  5. B4sSh0t

    B4sSh0t Usuario Habitual nvl.3 ★
    197/244

    Registrado:
    15 Dic 2009
    Mensajes:
    37.539
    Me Gusta recibidos:
    52
    me sorprende el trabajo, aún asi opino igual que arriba, de cierta forma "molesta" que usen de mala manera el término "hacker" siendo que son "sólo" "crackers"...


    Saludos
     
  6. sebamodding

    sebamodding Usuario Nuevo nvl. 1
    17/41

    Registrado:
    26 Abr 2008
    Mensajes:
    109
    Me Gusta recibidos:
    2
    el cagazo es tremendo :chape: ahora no faltara el que trate de aprovecharse
     
  7. osioypreguntas

    osioypreguntas Usuario Nuevo nvl. 1
    1/41

    Registrado:
    26 Nov 2014
    Mensajes:
    16
    Me Gusta recibidos:
    0
    Si todo eso es verdad, esperemos (los que tienen cuentas con banco estado) lo puedan solucionar o mejorar su pagina y ponerle mas seguridad. imaginense que alguien cage a una empresa o mas xD seria ultra millonario.....
     
  8. loco_volaito

    loco_volaito Usuario Maestro nvl. 6 ★ ★ ★ ★
    697/812

    Registrado:
    18 Mar 2014
    Mensajes:
    186.449
    Me Gusta recibidos:
    95
    hackers? hackers? :lol:
     
  9. parabroen

    parabroen Usuario Avanzado nvl. 4 ★ ★
    232/244

    Registrado:
    2 Sep 2008
    Mensajes:
    13.851
    Me Gusta recibidos:
    313
    Pasa lo mismo con Wells Fargo de EEUU, que manera de hackear cuenta estos russos qlos.
     
  10. ResorTe

    ResorTe Usuario Casual nvl. 2
    87/163

    Registrado:
    1 Nov 2012
    Mensajes:
    5.645
    Me Gusta recibidos:
    20
    si jokean, ojala se rajen con una lukita, porque me daria verguenza que revizaran mi saldo :lol:
     
  11. alex1781

    alex1781 Usuario Casual nvl. 2
    87/163

    Registrado:
    27 Jul 2009
    Mensajes:
    6.126
    Me Gusta recibidos:
    6
    ahi estan los 300 pesos por transaccion a modo de mantenciones xd
     
  12. Ssensaxs

    Ssensaxs Usuario Nuevo nvl. 1
    7/41

    Registrado:
    14 Abr 2012
    Mensajes:
    68
    Me Gusta recibidos:
    1
    la manza caga XDD
     
Estado del Tema:
Cerrado para nuevas respuestas