In-Seguridad en Bancomer por Internet

Ayer me llegó el siguiente correo:

Hola mi estimado Linuxman, aquí enviándote un saludo y también para contarte un detalle curioso.

Notese que el número se teclea sin usar encriptación

Entré a la pagina de Bancomer (www.bancomer.com) a revisar mi estado de cuenta y en la parte superior derecha de la pagina hay un cuadro de texto con la leyenda “Acceso Express / teclee aqui su / Numero de tarjeta” y cuando pones ahí tu numero y presiones el botón “ir” los datos son enviados por un GET!!!! osea en la dirección URL de la siguiente pagina aparece la pareja de valores “tarjeta=numerodetutarjeta”!!!!! además si pones un numero de tarjeta equivocado no puedes accesar a la siguiente pagina, y además que la conexión no es segura…… bastante extraño no?? que un banco envie los datos de sus tarjeta habienets como texto plano y en la URL, en la pagina de banorte hasta un teclado virtual aparece para evitar a los keylogers.

Y para colmo el numero de tarjeta se guarda en el URL como parte del historial

Y te preguntaras porque me cuentan esto a mi :-) , pues hace ya tiempo que visito tu blog, lo encontré buscando información sobre Linux y he encontrado mucho mas que eso, y pues como se que te gusta hablar del PatasWare pues creo que esta pagina aplica, al menos en seguridad, eso si pasado cierto tiempo la pagina te hace un logout automático…. sera para que re envies tus datos por si no los capturaron la primera ves, jajaja.

bueno adios, un saludo desde monterrey nos vemos.

Dr. Antonio Sánchez U.

Muchas gracias Antonio por tu correo y después se andan quejando si ellos mismos son los que se hacen el harakiri. Me tomé la libertad de ilustrar la nota.

Archivado en: Bug Hunter, Linuxman responde | | November 28, 2006
Agregar a del.icio.us | Enchilame Enchilame esta

4 Comentarios »

Enlace Permanente | TrackBack

Gravatar Image

# 1 | kad
November 28, 2006 @ 12:47 pm    

Falta información… Si, bancomer hace esa onda de pasarlos por el GET, pero te faltó decir que de ahi se va a una página con un iframe (el cual si esta por https) donde tienes que escribir tu contraseña, una vez que manda la contraseña tienes que escribir un dígito aleatorio de una tarjeta que te dan en el banco. La seguridad no es un solo paso, sino una serie de mecanismos que en su conjunto te ofrecen eso. En resumen, si una persona puede “sniffear” tu numero de tarjeta (que puede conseguir de muchas otras maneras) le faltan aun 2 mecanismos mas que vencer los cuales se transmiten por un canal seguro. Hay que informarse más antes de afirmar que se hacen el harakiri.

Gravatar Image

# 2 | RIVE
November 28, 2006 @ 12:48 pm    

Ya ni chingan, por eso no uso Banca Electrónica, ademas quiero que los cajeros/as (sobretodo las guapas) conserven su empleo:

Checa http://www.robosbancarios.com/ BBVA Bancomer en ves de banco parece la Cueva de Ali Baba.

Saludos

Gravatar Image

# 3 | linuxman
November 28, 2006 @ 2:56 pm    

Perdón kad, pero el hecho ahí esta, se deja información sensible al alcance de cualquiera.

Por regla general, cualquier intercambio de información entre un banco y el cliente se debe de hacer mediante un canal seguro (como https).

No se diga el hecho de dejar el numero de tarjeta como parte del URL.

Gravatar Image

# 4 | Juan Manuel
May 23, 2007 @ 8:02 pm    

Que esperaban, si los Ejecutivos de BBVA Bancomer, son parte de una mafia, que existe desde la fusion BBVA con Bancomer
http://fraudes-bancomer.blogspot.com/

Que importa, si su portal fuera el mas seguro, si del otro lado del sistema, estan los verdaderos rateros, o sea, los ejecutivos y altos funcionarios de BBVA Bancomer.

RSS para los comentarios de este artículo.

Deja un comentario...

Los parráfos son automáticos, tu dirección de e-mail nunca será mostrada, los siguientes códigos en HTML están permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

Este es un espacio abierto, puedes escribir lo que gustes respetando los siguientes puntos: