Chile: BancoEstado expuso en internet un log con información de clientes sin cifrar
Un log de Banco Estado con información sobre las transferencias realizadas por clientes fue descubierto en internet, publicado sin cifrado y con información sensible de gran cantidad de clientes. Aunque el banco fue informado y el log ya no está disponible, gran cantidad de información de clientes estuvo expuesta, lo que puede poner en riesgo la seguridad de las cuentas de estos usuarios.
Entre los datos disponibles en el log aparecían el nombre de la persona que estaba realizando la transferencia, nombre del destinatario, e-mail del destinatario, cuenta de origen y destino, montos asociados a la cuenta, información de la tarjeta de coordenadas y la contraseña que utiliza el usuario para ingresar al portal.
"Todo esto debería estar cifrado, pero en este log aparecía todo en plano", explica Fernando Lagos (Zerial), consultor de seguridad que reportó el problema al banco. El log estaba disponible en https://m.bancoestado.cl/log/log.txt. "Era muy obvia la dirección. Cualquier "escaneador" automático hubiese detectado ese log", dijo a FayerWayer.
El log aparentemente rotaba diariamente, pero no se sabe durante cuántos días estuvo disponible, ni cuántos clientes pueden haberse visto expuestos si alguien estaba siguiendo la información presente allí. "Según mis cálculos y analizando el log, en un rango de 4-5 horas fueron 160 transacciones, es decir, 160 posibles usuarios afectados. Multiplícalo por la cantidad de horas del día, por la cantidad de días que estuvo expuesto ahí", dice Zerial.
La recomendación es que si eres cliente de BancoEstado y realizaste transacciones últimamente, cambies la contraseña para internet y pidas una nueva tarjeta de coordenadas. Para más detalles sobre el log y los datos expuestos, puedes revisar el blog de Zerial.
Contactamos a BancoEstado para conocer su reacción a este tema, actualizaremos cuando haya respuesta.
Link: BancoEstado expone los datos de las transacciones de todos sus clientes (El rincón de Zerial)
Saludos
Rodrigo González Fernández
Diplomado en "Responsabilidad Social Empresarial" de la ONU
Diplomado en "Gestión del Conocimiento" de la ONU
- PUEDES LEERNOS EN FACEBOOK
CEL: 93934521
Santiago- Chile
Soliciten nuestros cursos de capacitación y consultoría en GERENCIA ADMINISTRACION PUBLICA -LIDERAZGO - GESTION DEL CONOCIMIENTO - RESPONSABILIDAD SOCIAL EMPRESARIAL – LOBBY – COACHING EMPRESARIAL-ENERGIAS RENOVABLES , asesorías a nivel nacional e internacional y están disponibles para OTEC Y OTIC en Chile