Diciembre 8, 2016

Cómo robar contraseñas de las Tarjetas Presto de Líder

Si hay algo que es delicado en temas de seguridad informática, son todos los aspectos relacionados al dinero, como las transancciones, el almacenamiento, resguardo y protección del dinero. En ese sentido, he visto y hecho muchas cosas…

Ahora bien, en Chile se conocen múltiples casos de robo, fraude, estafa, etc. Uno emblemático, es el de Banco BCI (Banco de Crédito e Inversiones), en donde robaron 1.000 millones de pesos de las cuentas corrientes de la SOFOFA, DHL y Salfa, y que se dio a conocer en octubre de 2015.

En términos prácticos, es fácil robar una cuenta bancaria cuando se trata de phishing y hoax, pero, ¿penetrar el sistema informático de un banco? ¿Desarrollar una botnet bancaria? ¿Hacer que los cajeros automáticos expulsen dinero? Hazañas informáticas que sólo unos pocos pueden contar, aunque sean catalogados de delito, son habilidades intelectuales que no todos tienen.

Sin embargo, desde mi perspectiva, quienes cometen realmente un delito, son las instituciones, empresas y toda clase de organizaciones que están detrás de las transacciones, el almacenamiento, el resguardo y la protección del dinero, ya que si una persona es capaz de quebrantar su seguridad, la responsabilidad moral, ejecutiva y legal es del banco, sus gerentes y equipo de seguridad informática, en el caso de tratarse de una entidad como esta. Si usamos el sentido común, es culpa del banco dejar sus puertas abiertas para que alguien entre, por lo tanto, el intruso, por ley, debiera ser condenado a prestar una auditoría de seguridad completa al banco, y éste último, costear la indemnización a las víctimas, si aplica. ¿Es descabellado exigir que una empresa de transporte se responsabilice de los daños que un accidente pueda causar a causa de negligencia técnica y empresarial, y que además sus representantes sean juzgados por ese delito, al demostrarse incumplimiento de contrato y transgresión a la leyes del tránsito y del consumidor?

Pagos Online con Tarjeta Presto Líder de Walmart

Se supone que uno debe confiar en las plataformas que procesan las transacciones online, pero nada es perfecto, siempre cometen errores: ley universal, ningún sistema es seguro, todos son quebrantables de alguna manera. En fin, cosa extraordinaria que me tocó, fue realizar unos pagos en el año 2014, a través de la plataforma online de “Lider, Servicios Financieros”, tal como reza en la página web de la Tarjeta Presto de Líder.

Mientras realizaba una de las transferencias, me percaté de que la confirmación del pago es estática, por lo tanto, podía consultar el comprobante de pago cuantas veces yo quisiera, incluso sin estar logueado en el sistema. Curiosamente, hoy (en 2016, más de dos años después), aún es posible consultar dichas URLs:

Tarjeta Presto de Líder

Reenvío de Comprobantes de Pago con Tarjeta Presto Líder de Walmart

Tal como se aprecia en la imagen, es posible ingresar un email cualquiera y enviar el comprobante de pago a nuestro antojo, cuantas veces queramos, a las direcciones de email que seleccionemos:

Tarjeta Presto de Líder

Tarjeta Presto de Líder

Tarjeta Presto de Líder

Posible Fuzzing de los Comprobantes de Pago de la Tarjeta Presto de Líder

Si pudiéramos entender todos los aspectos que permiten generar el valor final, hipotéticamente, podríamos crear valores masivos para encontrar las URLs de otros comprobantes de pago. Veamos:

URL: https://subdominio.presto.cl/valor/valor/valor.aspx?valor=20140718151106166917

  • Fecha del Pago: 20140718
  • Hora del Pago: 15:11:43 (1511)
  • Monto del Pago: 19026 (no aplica)
  • ID de la Transacción: 166917 (166917)
  • ID aislada: 06 (¿qué significa?)

En fin, no me voy a dar el trabajo de crear un excel con todo esto, tal como en otras investigaciones...

XSS (Cross-site Scripting)

Como si fuera poco, es posible realizar diversos tipos de injección,

Tarjeta Presto de Líder

Inyección de HTML & Robo de Contraseñas de la Tarjeta Presto de Líder

Sin ir más allá, con la ayuda Luis Jara, es posible inyectar HTML; inyección con la que podemos engañar a todos los clientes de la Tarjeta Presto de Líder, para pedirles que nos den sus datos de acceso y, posteriormente, realizar algún intento para “vaciar sus cuentas”, y todo, desde la misma página web oficinal de Presto,

Tarjeta Presto de Líder

Si van a realizar compras en diciembre, tengan mucho cuidado lo hacen a través de la Tarjeta Presto de Líder y su sitio web oficial (https://www.presto.cl), y recuerden que siempre, no porque aparezca Luis Jara en la publicidad, todo es color de rosa.

Ten cuidado, que no te roben tus contraseñas.

Asegura tu Empresa Con
Trabajo SEO en Progreso…
Skin Color
Layout Options
Layout patterns
Boxed layout images
header topbar
header color
header position