7 millones de Cuenta RUT expuestas por falla de seguridad

Spread the love

cuentarut-300x192Joshua Provoste, uno de nuestros Security Researcher’s en Security Labs, recientemente publicó un artículo sobre increíbles y graves vulnerabilidades en la plataforma web de Banco Estado.

Se especula que desde hace meses, Banco Estado mantiene grietas de seguridad que permiten, entre otras cosas, cambiar la contraseña de acceso online, y los datos de todos los clientes del banco, exponiendo de esta forma a millones de personas que usan Cuenta RUT, y otras cuentas bancarias.

Mientras tratamos de comunicarnos con el banco y su departamento de informática (hasta el momento, Banco Estado no se ha pronunciado oficialmente sobre esto), reproducimos acá fielmente, el artículo que Joshua Provoste publicó durante el día de ayer. Además, invitamos a todas las personas que usan Cuenta RUT de Banco Estado, a que tengan mucho resguardo y cuidado con el uso de sus tarjetas y contraseñas, ya que el artículo es bastante explícito y muestra la profundidad del problema.

A continuación:

Motivado por un aviso de publicidad en Banco Estado para descargar el software Detect Safe Browsing, advertí graves vulnerabilidades por medio de las cuales Banco Estado ha expuesto durante varios meses las cuentas bancarias de todos los clientes Cuenta RUT (y probablemente otros tipos de cuentas). Banco Estado ha roto todas las políticas de privacidad y protección de manera increíble.

Descarga desprotegida & XSS

Detect Safe Browsing de Easy Solutions INC fue el punto de partida, ya que es una aplicación supuestamete exclusiva para clientes de Banco Estado, accesible sólo por medio de una cuenta de usuario, pero en la práctica se puede descargar sin sesión. Incluso, podemos ver cómo dicha URL ya ha sido objeto de explotación para ataques tipo XSS (Cross-site Scripting), según los resultados de búsqueda y la caché de Google. Pero no es lo peor, ¡esto es sólo el comienzo! Toma tu cuenta RUT y partir de ahora guárdala.

detect-safe-browsing-easy-solutions-inc

Fuzzing & SQL Injection

Fue entonces cuando decidí volver a ingresar con mi cuenta de usuario al sitio de Banco Estado para poner esta vez más atención en el funcionamiento de la interfaz web, logrando advertir que es posible, por medio de fuzzing, acceder a planillas de uso interno del banco. Para mi sorpresa, además, en cada cambio de acceso la nueva URL arroja un número en el extremo superior izquierdo, mostrando de esta forma que además de fuzzing es vulnerable a ataques de SQLi (SQL Injection).

fuzzing-sql-injection-bancoestado-1

fuzzing-sql-injection-bancoestado-2

Exposición de base de datos de clientes

De manera extraordinaria, también es posible acceder a la base de datos completa de personas y empresas que han obtenido devoluciones de dinero, filtrando así números de cuentas, nombres completos y dineros de cientos o quizá miles de usuarios y compañías en Chile:

devolucion-conadecus-banco-estado

Cambios arbitrarios de datos y contraseñas

Como si fuera poco, aunque parezca increíble, es posible “actualizar” los datos de cualquier cliente sin tener la contraseña y sin acceder bajo una sesión de login:

cambio-de-datos-de-usuarios-banco-estado

cambio-de-datos-de-usuarios-banco-estado-2

Y para colmo, no sólo es posible cambiar arbitrariamente los datos de los clientes, sino que además podemos resetear la contraseña de acceso web de todas las Cuentas RUT. Increíble, pero cierto.

cambio-de-contraseña-cuenta-rut-banco-estado

cambio-de-contraseña-cuenta-rut-banco-estado-2

cambio-de-contraseña-cuenta-rut-banco-estado-3

XSS, Inyección de HTML & Ataques de Ingeniería Social

Como han de imaginarse, mi asombro era gigante. Sin embargo, quedé con la boca abierta al percatar que después de todo lo anterior, ¡podía modificar la web! Así es, señoras y señores, el sitio de Banco Estado es tan crítico, que se puede armar un buen plan de Ingeniería Social para realizar un ataque masivo a nivel nacional con el objeto de robar contraseñas de tarjetas bancarias. ¿Cómo? Facil, inyectando un payload acorde a la web en donde se realice un call to action para que la víctima haga click sobre él y lo lleve a una web de phishing a través de la misma página web oficial. ¡Una mina de oro para carding!

ingenieria-social-y-robo-de-contraseñas-banco-estado