Comisión de Seguridad

ir a menu
ir a noticias
ir a bloques informativos
Ir a Página sobre accesibilidad
Ir a Página de Inicio
Ir a Página de Texto
Ir a Mapa web
Ir a Buscador
Ir a Aviso Legal
Contactar con la Asociación de Internautas
Comprueba tu velocidad de conexion, ADSL, Cable, RTB

Menu

Noticias

Ayuda a la Asociación de Internautas con tu donación

Un fallo en Ibercaja Directo puede mostrar cuentas y datos a un tercero sin tener que loguearse.

La seguridad en la banca online es fundamental tanto por parte del cliente como por la entidad financiera que presta sus servicios, pero alguna veces el eslabón mas fuerte puede tener fisuras, en este caso es lo que ocurre en la banca online de Ibercaja Directo.

10-5-2008: El problema esta soluccionado.

Felicitamos a los compañeros de Ibercaja que mostraron gran profesionalidad al no negar el problema y tomar cartas en el asunto lo antes posible.

30-03-2008 - Antes de continuar con el análisis de seguridad, queremos advertir que este articulo no trata de asustar a los clientes de esta entidad financiera ni tampoco es un intento de publicidad negativa, el análisis esta realizado por José Maria Luque responsable de la Comisión de Seguridad de la Asociación de Internautas que es cliente de la entidad Ibercaja y por ello no deja de usar sus servicios online, el análisis solo trata de advertir tanto a la entidad como a los clientes que es necesario un cambio urgente en la política de seguridad online de la entidad financiera.

La investigación de seguridad sobre los fallos detectados empezó por un simple error continuo que siempre nos salta en la web de Ibercaja Directo, este aviso que se muestra en la siguiente imagen fue el hilo de este articulo:



Nos logueamos en Ibercaja Directo para realizar las tareas financieras diarias, dependiendo el navegador / versión vemos que cuando se pulsa sobre la opción "Posición Global" salta el siguiente error de:

Ha ocurrido un error en el servidor. Vuelva a intentarlo en unos minutos o comuníqueselo con nuestra Banca Telefónica. Teléfono 902 111221.




También puede mostrar el siguiente error siempre dependiendo el navegador;



Incluso puede que no muestre ningún error, depende la configuración, navegador y versión.

Lo mas lógico es que tras el error mostrado NO deje seguir con nuestra sesión y solicite de nuevo la clave de acceso, y sin embargo, esto no ocurre, podemos seguir trabajando como si no hubiera pasado nada, esto fue lo que nos llamo la atención y nuestras sospecha de que las cosas no estaban muy bien.

Analizamos algunos enlaces con la sorpresa que la sesión esta activa y no es necesario una cookie para comprobar una posible autentificación:



Modificamos el enlace para llamar a otros menús y los muestra:




Las sospechas empiezan a tomar mas fuerza, utilizamos algunas URLS en un navegador diferente al usado y comprobamos que podemos trabajar sin petición de ninguna clave, ESTO NO DEBERÍA SER POSIBLE, pero es mejor hacer una prueba mas fiable, se prueba en una maquina diferente que nunca estuvo conectado a Ibercaja Directo (pero que sale a Internet con la misma IP pública que la anterior) con la sorpresa que nos muestra el menú y podemos trabajar SIN TENER QUE LOGUEARNOS, lo ponemos un poco mas difícil, enviamos este enlace a una maquina diferente con una ip pública diferente y podemos seguir operando con las dos conexiones, increíble ¿no creen?:






Rizamos el rizo nos logueamos en Ibercaja Directo en una maquina nueva con el navegador Mozilla, nos movemos por algunos menús, copiamos algunos enlaces y cerramos el navegador, abrimos el Internet Explorer pegamos el enlace y podemos seguir trabajando como si no hubiera pasado nada, damos otra vuelta de tuerca, cerramos el navegador Internet Explorer y nos vamos al histórico del Mozilla comprobamos algunas urls usadas, pinchamos sobre ella y magia podemos operar sin falta de clave de acceso!









Se imagina que algún cliente de Ibercaja Directo realice operaciones desde un ordenador publico (en un cybercafé, o un PC compartido), este cierre el navegador por las prisas y alguna "listillo" compruebe el historial de la ultimas conexiones, los datos serán mostrados.

También llama la atención que la web donde nos "logueamos" realiza llamadas a enlaces externos dentro de nuestra navegación de Ibercaja Directo, incluido menús que pueden ser visibles sin tener que estar logueado:

https://servicios.vinea.es/webapp/BrokerWeb/
ServletFrameWork?ENTORNO=2085&PLANTILLA=menuvalores.html

https://www.ceca.es/cgi-bin/INclient_2085?OPERACION=SCCVM
&IDIOMA=01&CAJA=2085&CAMINO=9085






https://servicios.vinea.es/webapp/BrokerWeb/ServletValores?
ENTORNO=2085&CODIGO=I&MERCADO=MC&AMBITO=N





Donde también se pueden comprobar datos que no deberían ser mostrados:




Nos hacemos la siguiente pregunta; ¿que pasaría si se realiza un ataque XSS ("Cross Site Scripting")?

Esperemos que los compañeros de seguridad de la entidad Ibercaja Directo den solución rápida a los problemas y no se convierta en el clásico “desmentir” para dar una “sensación de seguridad”, uno de los grandes pecados de la seguridad informática en estos tiempos, la falsa seguridad se convierte en inseguridad.

El resumen de este problema es fácil, la navegación no comprueba cookies cuando esta operando en los enlaces, nos deja salir de los iframes de la web y operar con ellos, al no comprobar la cookie se puede navegar en otra maquina distinta, si existe un robo de sesión activa o de enlaces operativos podemos ver datos y cuentas, algunos datos pueden ser modificados y añadir nuevos, donde no se pide clave ninguna.

Recomendaciones de forma rápida; cambiar el control de sesión activa por parte de la entidad financiera (maquina, Ips), no permitir salir de los iframes, si puede evitar enlaces externos mucho mejor, por parte del cliente NO conectarse con maquinas publicas, no seleccione texto y lo envié por correo electrónico si este contiene enlaces podrán ser usados por el remitente, cerrar la sesión al termina de trabajar con su cuenta online, borrar historial y datos privados del navegados, no olvidamos tener un antivirus y cortafuego actualizados para impedir dentro de lo que se pueda estar a salvo de algún malware que pueda robarle la sesión.


Queremos agradecer la ayuda, colaboración y sus ideas a los compañeros de seguridad informática:

- José Carlos Martín.
- Fernando Gozalo Díaz.

Sin ellos no se hubiera realizado las pruebas de este análisis.



Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org - www.seguridadenlared.org - www.seguridadpymes.es
Asociación de Internautas. www.internautas.org

Volver<<< Volver
ImprimirVersión para imprimir Impresora | Versión PDF PDF
Enviar artículo a un amigo:
Las direcciones de correo no se almacenan en parte alguna, simplemente son utilizadas para el envio del correo al destinatario

Bloques informativos

Bugs y Exploits

Seguridad Pymes

Logos y Marcas propiedad de sus respectivos autores
Se permite la reproducción total o parcial de todos los contenidos siempre que se cite la fuente y se enlace con el original
Logo AI pequeño
© 1998-2015 Asociación de Internautas
Aviso Legal - Contacto
¡Nuestro RSS! | Accesibilidad

¡Internautas Televisión! |¡Alertvir! |¡Seguridad en las PYMES! |¡Comisión de Seguridad! |¡Tienda de la Asociación de Internautas! |¡Seguridad en la Red! |¡Foros públicos de la Asociación de Internautas!