Historias
Slashboxes
Comentarios
 
Búsqueda

Login Barrapunto

Login

[ Crear nueva cuenta ]

  • artículo
  • Mentes Inquietas
  • La Caixa
  • Más sobre el tema "Seguridad"
  • También de manje

    • Análisis de La Caixa en Mentes Inquietas

    editada por manje el 31 de Octubre 2003, 10:26h   Printer-friendly   Email story
    desde el dept. la-información-quiere-ser-libre
    Seguridad
    Un pobrecito hablador nos avisa de un artículo en Mentes Inquietas en el que exponen como desde la banca electrónica de La Caixa accedían a importantes datos de otros clientes, entre ellos los últimos movimientos y el saldo de una cuenta ajena. Obvian detalles técnicos e información confidencial y lo publican una vez estos problemas han sido subsanados.

    Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
    Análisis de La Caixa en Mentes Inquietas | Log in/Crear cuenta | Top | 41 comentarios | Buscar hilo
    Mostrar opciones Umbral:
    Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

    • la profesionalidad

      (Puntos:4, Inspirado)
      por siddartha (674) <dbrouard_arrobanospammmm_gmailpuntocom> el Viernes, 31 Octubre de 2003, 11:25h (#232623)
      ( http://shkroot.blogspot.com/ | Última bitácora: Miércoles, 21 Diciembre de 2005, 11:36h )
      Me sorprende muy gratamente la profesionalidad y la limpieza con la que han llevado un tema tan delicado como éste.

      La gente de "La Caixa" hizo lo que tenía que hacer, corregir el problema y agradecer la ayuda, y la gente de MI, hacer que lo corrigieran primero, y una vez hecho esto, llamar la atención sobre la seguridad en la banca online.

      Felicidades a los dos.
      --
      -- shk [blogspot.com]

    • Read only?

      (Puntos:1)
      por anigwei (6610) <andreuNO@SPAMeines.info> el Viernes, 31 Octubre de 2003, 11:54h (#232633)
      ( http://www.eines.cat/ | Última bitácora: Domingo, 21 Junio de 2009, 17:45h )
      Los que tienen activada la opción para que se puedan hacer transacciones des de internet, tambien eran suplantables? :O
      --

      :wq
      Xarxa Eines.cat [eines.cat]

    • Gente Inteligente

      (Puntos:1, Interesante)
      por pobrecito hablador el Viernes, 31 Octubre de 2003, 21:51h (#232760)
      No se pq os sorprende la actitud de Mentes.org. Simplemente han demostrao ser gente inteligente. En primer lugar por descubrirlo.. y sobre todo en segundo lugar, pq ganan mucho mas comunicandolo de la forma q han echo a La Caixa.

      Comunicarlo de esta forma para solucionar el problema, ganan mcuho prestigio y respeto, tanto por esa empresa (quien dice q ahora no los contrate?) como por otras q sepan de sus buenos actos.

      Por el contrario, si hubieran intentado sacar un beneficio ilegal de todo esto, casi fijo q al final los pillaban, se metian en un buen lio y solo abrian demostrado ser unos delincuentes.

      Para mi son gente inteligente ;) Pero de ahi a sorprender.. pos no. Lo q sorprende son los otros.. pq al final la cagan aunq logren saltarse lo q sea :P

    • empresa de seguridad

      (Puntos:1, Interesante)
      por pobrecito hablador el Sábado, 01 Noviembre de 2003, 01:52h (#232798)
      Leyendo la web veo que estos de mentes.org tienen una cierta obsesion con una empresa de seguridad.. pero no veo en ningun sitio las razones.. me imagino que con tanto alarde de transparencia y de enseñar verguenzas ajenas, podrian comentar las razones de esta obsesion, y su relacion presente o pasada con la misma, o la de sus (su?) miembros (miembro?). poseso

    • Más detalles

      (Puntos:1)
      por jlmarin (11646) el Sábado, 01 Noviembre de 2003, 22:13h (#232920)

      Sería interesante que alguien de Mentes Inquietas diera más detalles...

      Por lo que explican, durante el manejo de la sesión, estos tíos (me refiero a los programadores de Caixa) debían estar utilizando campos escondidos en los forms para comunicar el numero de cuenta, etc. Cuando cualquiera con dos dedos de frente sabe que nunca se debe confiar en el navegador cliente, pues es trivial manipular los forms antes de hacer cualquier "submit". El hecho de que toda la sesion vaya envuelta en SSL es irrelevante en este caso, pues estamos hablando de que un usuario que ya ha entrado en sesión (con su user y password legitimos), el cual puede a partir de entonces "inyectar" exploits de este tipo.

      Al menos, una vez descubierto el fallo, la entidad ha tratado el asunto con profesionalidad y no ha caído en la tentación de arremeter contra los que lo han descubierto. Y también hay que decir que en general la seguridad (en la programación) es mucho más difícil de lo que parece, y por tanto no está bien pasarse de listo y ridiculizar casos así... excepto que estamos hablando de Banca On-Line, y nada menos que La Caixa. Señores de La Caixa, este agujero parece de principiantes.

      Ya puestos, no estaría mal que se airease quién programó esta aplicación Web, si es el departamento interno o los de EDS

    • Re:No podemos hacer nada ?

      (Puntos:3, Inspirado)
      por kpiris (6707) el Viernes, 31 Octubre de 2003, 12:25h (#232640)
      ( http://barrapunto.com/ )
      Yo soy cliente de La Caixa on-line.

      Yo también

      Es que no va a haber un PUTO banco on-line que no tenga fallos o que ? Es indignante.

      No existe ninguna aplicación sin fallos. Las aplicaciones de los bancos no estan por encima de las demàs. Punto.

      Ahora bien, la clave del asunto radica en la capacidad de reacción ante el descubrimiento de los fallos. Todo parece indicar que, en este caso, fue correcta.

      Se puede hacer algo ? Reclamar ? O solo nos queda la pataleta ?

      No te queda ni la pataleta (basta leerse el contrato de cualquier sistema de "home banking").

      Bueno, esto no es cierto del todo (lo que si es cierto es que los contratos éstos, suelen contener clausulas "quasi abusivas").

      Pero hay límites, en este caso concreto de La Caixa, debería caerles un "buen puro" de la APD (como le pasó a Telefónica hace un tiempo).

      Y si no lo publica mentes inquietas ni nos enteramos ... me da igual si tienen fallos una tienda on-line, o un ISP, o si es tu subscripcion al periodico digital, o lo que sea ... pero tu cuenta bancaria ? JODER! es casi un reflejo de tu vida que queda al descubierto para todo el que la quiera ver.

      Bienvenido a la "era digital", la intimidad ya no existe.
      [ Padre ]

    • Re:Yo también...

      (Puntos:2, Interesante)
      por kaneda (1441) el Sábado, 01 Noviembre de 2003, 02:35h (#232801)
      Seria mas bien algo como:

      Abren la puerta de tu casa cuando no estas. Cuando estas, vienen, llaman a tu puerta, te avisan de que va a demostrarte que la pueden abrir, la abren, y te dicen como la ha abierto y que deberias hacer para que no fuera tan facil. Tu compruebas exhaustivamente que no te han robado nada, les das las gracias, y cambias la cerradura. Ellos se apuntan un tanto como "tecnicos de seguridad domestica".

      Pero como les pilles abriendo la puerta desde un buen principio, la que se puede montar puede ser gorda. Mas aun si eres un politico a quien las autoridades y sistema judicial te tienen mucho aprecio.
      [ Padre ]

    • Una experiencia...

      (Puntos:1)
      por ifanlo (7244) el Sábado, 01 Noviembre de 2003, 20:16h (#232896)
      ( http://superalumnos.net/ )

      ... y no me lo contaron, lo vi con mis propios ojos.

      Un amigo se conectó a la Línia Oberta de La Caixa, introduzco su numero de usuario y su pin, y voilà: se encontró curioseando el extracto de cuentas de una clienta que no era él.

      Preocupado, llamó a la hot-line de asistencia y el diálogo fue de lo más surrealista. Yo le decía: "Pide que te pongan con alguien de seguridad informática, que has descubierto un fallo", y él empeñándose en explicarle a la teleoperadora lo que había ocurrido. Como es lógico, la teleoperadora no se lo creía y le decía que era imposible, y él venga desgañitarse porque temía que alguien pudiese acceder a sus propios datos.

      Nos faltó comprobar si tenía acceso a las operaciones, no tan sólo a la consulta, pero, la verdad, cuando recuerdo ese episodio, me parece increíble.

      --
      -- "Sólo el conocimiento nos hace libres"
      [ Padre ]
    • 5 respuestas por debajo de tu umbral de lectura actual.