Banco Estado, el banco menos seguro de Chile

Nota, 26 de marzo 2015.

Después de la publicación de las vulnerabilidades en Banco Estado, se generaron trifulcas en las que, obviamente, no participé: el banco, por ejemplo, amenazó con demandarme, al mismo tiempo que desmintió las fallas en su aplicación web. Curiosamente (para el bien de todos sus clientes), las falencias desaparecieron y aplicaron diferentes y adicionales maneras de autenticación. ¿Coincidencia? Como disloque, un anónimo, días después del disclosure, aplicó las vulnerabilidades con algo de cosecha propia (logrando un interesante bypass de login), para luego grabarlo y publicarlo en Youtube, demostrando con esto que la información publicada en aquel reporte era 100% real y explotable, tirando por el suelo los estudios paralelos a base de ignorancia. A saber: http://utb.cl/NLjh4

******************

Motivado por un aviso de publicidad en Banco Estado para descargar el software Detect Safe Browsing, advertí graves vulnerabilidades por medio de las cuales Banco Estado ha expuesto durante varios meses las cuentas bancarias de todos los clientes Cuenta RUT (y probablemente otros tipos de cuentas). Banco Estado ha roto todas las políticas de privacidad y protección de manera increíble.

Descarga desprotegida & XSS

Detect Safe Browsing de Easy Solutions INC fue el punto de partida, ya que es una aplicación supuestamete exclusiva para clientes de Banco Estado, accesible sólo por medio de una cuenta de usuario, pero en la práctica se puede descargar sin sesión. Incluso, podemos ver cómo dicha URL ya ha sido objeto de explotación para ataques tipo XSS (Cross-site Scripting), según los resultados de búsqueda y la caché de Google. Pero no es lo peor, ¡esto es sólo el comienzo! Toma tu cuenta RUT y partir de ahora guárdala.

URL para descarga de Detect Safe Browsing, de Easy Solutions INC
URL para descarga de Detect Safe Browsing, de Easy Solutions INC

Fuzzing & SQL Injection

Fue entonces cuando decidí volver a ingresar con mi cuenta de usuario al sitio de Banco Estado para poner esta vez más atención en el funcionamiento de la interfaz web, logrando advertir que es posible, por medio de fuzzing, acceder a planillas de uso interno del banco. Para mi sorpresa, además, en cada cambio de acceso la nueva URL arroja un número en el extremo superior izquierdo, mostrando de esta forma que además de fuzzing es vulnerable a ataques de SQLi (SQL Injection).

Fuzzing & SQL Injection en Banco Estado
Fuzzing & SQL Injection en Banco Estado
Fuzzing & SQL Injection en Banco Estado
Fuzzing & SQL Injection en Banco Estado

Exposición de base de datos de clientes

De manera extraordinaria, también es posible acceder a la base de datos completa de personas y empresas que han obtenido devoluciones de dinero, filtrando así números de cuentas, nombres completos y dineros de cientos o quizá miles de usuarios y compañías en Chile:

Exposición de base de datos de clientes
Exposición de base de datos de clientes

Cambios arbitrarios de datos y contraseñas

Como si fuera poco, aunque parezca increíble, es posible “actualizar” los datos de cualquier cliente sin tener la contraseña y sin acceder bajo una sesión de login:

Cambio de datos de clientes Banco Estado
Cambio de datos de clientes Banco Estado
Cambio de datos de clientes Banco Estado
Cambio de datos de clientes Banco Estado

Y para colmo, no sólo es posible cambiar arbitrariamente los datos de los clientes, sino que además podemos resetear la contraseña de acceso web de todas las Cuentas RUT. Increíble, pero cierto.

Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado
Cambio de contraseña Cuenta RUT Banco Estado

XSS, Inyección de HTML & Ataques de Ingeniería Social

Como han de imaginarse, mi asombro era gigante. Sin embargo, quedé con la boca abierta al percatar que después de todo lo anterior, ¡podía modificar la web! Así es, señoras y señores, el sitio de Banco Estado es tan crítico, que se puede armar un buen plan de Ingeniería Social para realizar un ataque masivo a nivel nacional con el objeto de robar contraseñas de tarjetas bancarias. ¿Cómo? Facil, inyectando un payload acorde a la web en donde se realice un call to action para que la víctima haga click sobre él y lo lleve a una web de phishing a través de la misma página web oficial. ¡Una mina de oro para carding!

Ingenieria Social & Robo de contraseñas de tarjetas Banco Estado
Ingenieria Social & Robo de contraseñas de tarjetas Banco Estado

Conclusión

¿Se justifican los cobros de la Cuenta RUT, sabiendo que, cualquier cracker podría explotar esta información para fines criminales? Un banco tan grande como este, ¿tiene equipo dedicado a los quehaceres propios de la seguridad informática? Francamente, si la aplicación web es así, no quiero imaginar sus sistemas o redes y menos aún los servidores… Es más, ¿de qué sirven sus certificados de seguridad SSL?

Hasta que Banco Estado no arregle todo esto, es recomendable, a todas luces, no usar la Cuenta RUT, guardarla por un buen tiempo, o buscar un banco más seguro.

Saludos y recuerda que… La seguridad en Internet es un mito, porque el único sistema seguro es aquel que está apagado y desconectado, enterrado en un refugio de cemento, rodeado por gas venenoso y custodiado por guardianes bien pagados y muy bien armados. Si no me crees, pregúntaselo a la NSA.