06-10-2008 - Dando una vuelta por la red vi donde unos jóvenes con ganas de aprender y superarse mostraban un fallo de un banco online, me llamo la curiosidad ya que es extraño el tremendo problema que describían, es lógico ver fallos en la banca online o ciertos agujeros, pero NO son tan fáciles de ver de forma tan simple, pero que nadie se asuste, sus depósitos son garantizados en 20.000 Euros en caso de quiebra, ¿porque nos vamos asustar si nuestra entidad tiene fallos de seguridad? Después de ser un poco sarcástico aunque sin falta de razón me puse a mirar la web bancaria:
http://bcbbank.com
Se trata del banco Bancaribe Curacao Bank, NV que a su vez del grupo Bancaribe http://bancaribe.com.ve
El fallo de esta web bancaria muestra datos de
usuarios, correos electrónicos, claves, etc., advertimos que no es necesario realizar ningún tipo de intrusión al servidor o realizar técnicas de auditorias de seguridad avanzadas, por supuesto no vamos a dar un cursillo de cómo hacerlo es solo mostrar que aun existen problemas de seguridad en la banca online y que lo subsane lo antes posible, en las siguientes imágenes mostramos algunos captura del problema de seguridad:
Algunos de los datos que nos muestra la web son,
Correos electrónicos:
XXXnchez@bancaribe.com.ve
XXXcan@bancaribe.com.ve
XXXdal@bancaribe.com.ve
XXXlavdjian@banacribe.com.ve
XXXrtinez@bancaribe.com.ve
XXXlones@bancaribe.com.ve
XXXrazon@bancaribe.com.ve
XXXnchez@bancaribe.com.ve
XXXimes@bancaribe.com.ve
XXXandoval@bancaribe.com.ve
Usuarios:
bc20XXX
bc21XXX
bc23XXX
bc2XXX3
bc9XXX9
Claves:
fd5ba9073XXXXXXXXXXXXXXXX
7046XXXXXXXXXXXXXXXXXXX
ce6d31XXXXXXXXXXXXXXXXXX
Lo curioso es que la web da consejos de seguridad a sus clientes pero claro se olvidan de recibirlos ellos, como curiosidad pueden ver las siguientes imagenes para que se den cuenta hasta donde pueden llegar los problemas de seguridad de este banco:
Consejos de seguridad que dan a sus clientes:
Por ultimo y como advertencia a los compañeros de seguridad de http://bancaribe.com.ve le recomendamos que hagan un test para que no se lleven una sorpresa en su portal financiero.
La usuarios se preguntaran porque ocurre estos problemas, es fácil, la gente que nos dedicamos diariamente a realizar auditorias técnicas de seguridad, análisis de riegos, análisis de vulnerabilidades, auditoria de ley de protección de datos, somos conscientes del riesgo real que existe en la red y sus “periféricos”, pero miles de usuarios, empresarios ó responsables de seguridad desconocen el peligro real de estas tecnologías, dan por hecho muchas cosas, la falta de seguridad, la no realización de estudios de prevención , seguridad por defecto, una seguridad ficticia, producen este tipo de inseguridad, luego vienen las “sorpresas” , multas por falta de protección de datos (LOPD), fuga de datos, preguntas tipo ¿cómo pudieron entrar? Si lo teníamos todo controlado. Que nadie se extrañe, no es raro ver en un grupo de técnicos de vulnerabilidades de grandes empresas personal que no sabe ni que es un ataque DDOS o una inyección SQL, por ello no es raro el alto porcentaje de inseguridad existente en distintos sectores.
Ahora viene la pregunta clave, que debemos exigir a nuestra entidad bancaria ¿qué nos garantice nuestros ahorros o sin embargo nos de seguridad online? La respuesta es fácil: “seguridad en ambos casos”.
Comisión de Seguridad en la Red.
José María Luque Guerrero
http://seguridad.internautas.org -
www.seguridadenlared.org -
www.seguridadpymes.es
Asociación de Internautas.
www.internautas.org