Operación “zanah0ria”

Escrito el 14 noviembre 2007, 06:05am en Seguridad ,Webs

Admin bancario

Vaya titulo le he colocado a este articulo, y va en honor a la “creatividad” de cierto admin de una web bancaria, que luego de matarse pensando su clave, ha cambiado el “admin” por “zanah0ria”, pero ojo, que se ha jugado cambiando la letra “o” por un 0 (cero).

Hace casi exactamente un año, comencé a observar los sitios web de los bancos argentinos, casi todos, seguramente se me escapo alguno de provincia que no conocía o no estaba en cierta lista, en fin me tope con ciertos errores que serian permisibles en una web personal, pero no un sitio de una institución en la que uno deposita no solo el dinero, sino también nuestra confianza.

Me he encontrado con los errores clásicos, cross-site scripting (XSS), cross-site framed (lo mismo que el anterior pero es cuando incrustamos etiquetas iframe), path disclosures, errores que posibilitan las inyecciones de código SQL, inclusión remota de archivos (RFI), esto último muy peligroso, y descuidos como dejar bases de datos al alcance de cualquiera, y utilizar como dato de acceso del administrador web del banco el usuario “admin” y la clave… adivinen, si! así es “admin”.

Todas estos hallazgos, los he ido recopilando en un archivo de texto que fue creado el día 15 de Noviembre de 2006, y a la fecha, solo un par de bancos han corregido los errores, un año después la mayoría sigue igual, es por eso que en estos días o semanas veré de ir publicando algunos de los mismos, obviamente sin mencionar la institución que se ve afectada, pero para demostrar que hoy en día, no se le presta la atención que se merece a temas tan importantes como la seguridad en una web bancaria, mas allá que apliquemos tarjetas de coordenadas, tokens o lo que sea para la banca electrónica, si nuestra web permite una estúpida y sencilla inclusión de código JavaScript, el usuario ya está en peligroso, así como todos sus datos.

Espero no tener que necesitar uno de estos 😛

Comentarios (2)

  1. Vic — noviembre 15, 2007 a las 5:09 pm

    No entendí mucho la parte más “técnica” de lo que escribiste, pero suena jodido. En realidad poco me importa la seguridad o posibles problemas que puedan tener estás instituciones (siempre que no afecten a la gente que tiene unos pocos mangos gurdados, obvio…), pero ya que poseen tanta plata, los bancos podrían invertir en personas que los asesoren como se deben, o no?
    Profecionales no faltan, o si?
    En fin.
    Siempre interesante pasar por aquí!
    Saludos para vosssssss

  2. Sergito — noviembre 15, 2007 a las 5:31 pm

    Hey tengan en cuenta el esfuerzo mental que se necesita para cambiar la “o” por un “0”…jajaja
    Mi hermana pone mejor las contraseñas a sus archivos que este tipo.
    Muy buena publicación Martín.
    Si se te escapan los nombres de los bancos no me voy a quejar… el sueño de todo espammer 😛

Los comentarios están cerrados para este artículo.