Barrapunto

Sería interesante que alguien de Mentes Inquietas diera más detalles...

Por lo que explican, durante el manejo de la sesión, estos tíos (me refiero a los programadores de Caixa) debían estar utilizando campos escondidos en los forms para comunicar el numero de cuenta, etc. Cuando cualquiera con dos dedos de frente sabe que nunca se debe confiar en el navegador cliente, pues es trivial manipular los forms antes de hacer cualquier "submit". El hecho de que toda la sesion vaya envuelta en SSL es irrelevante en este caso, pues estamos hablando de que un usuario que ya ha entrado en sesión (con su user y password legitimos), el cual puede a partir de entonces "inyectar" exploits de este tipo.

Al menos, una vez descubierto el fallo, la entidad ha tratado el asunto con profesionalidad y no ha caído en la tentación de arremeter contra los que lo han descubierto. Y también hay que decir que en general la seguridad (en la programación) es mucho más difícil de lo que parece, y por tanto no está bien pasarse de listo y ridiculizar casos así... excepto que estamos hablando de Banca On-Line, y nada menos que La Caixa. Señores de La Caixa, este agujero parece de principiantes.

Ya puestos, no estaría mal que se airease quién programó esta aplicación Web, si es el departamento interno o los de EDS