Inseguridad en el sitio Bancomer | bioxd.com

Inseguridad en el sitio Bancomer

Escrito por Oscar Alcalá. 28 de November de 2006
Etiquetas: Negocios, Seguridad

Vía linuxman me encuentro con esta tremenda falla en la seguridad del sistema de banca en linea de Bancomer. Si hay un lugar donde no me gustaría saber de fallas de seguridad es en mi banco, afortunadamente no tengo cuenta ahí.

Esto es lo que Bancomer está promoviendo en la página principal de su sitio web:

bancomer seg1

Interesante que utilicen “nueva tecnología” que seguramente les costó millones para que navegues más seguro. Pero de que demonios me sirve si comenten errores tan básicos como pasar el número de la tarjeta de crédito por GET!!!

bancomer seg2

Lo primero que aprendes cuando empiezas a desarrollar aplicaciones para web es que en términos de seguridad POST es mayor a GET, les explico un poco.

Cuando envías un formulario hay 2 métodos para pasar la información: GET y POST, las variables que envías usando GET se pueden ver en la dirección como sucede en el caso de bancomer, lo cual obviamente deja a la vista los datos. Las que pasas por POST son invisibles por decirlo de alguna manera, ademas de que tienes el plus de que las aplicaciones no suelen recibir datos por POST que no vengan de un formulario localizado en el mismo sitio, gracias a esto, falsificar la información se vuelve más complicado.

Aún peor, las direcciones se quedan guardadas en el historial por lo que un usuario que llegue despues que tú puede ver el número de la tarjeta que ingresaste sin ningún problema. Por si esto no fuera suficiente la información no es enviada por una conexión segura, al menos no de inicio.

Si bien es cierto que hay más pasos de seguridad en el sistema de bancomer no hay justificación para dejar los números de la tarjeta a la vista de todo mundo.

Comentarios

Rob XD comenta: November 29, 2006 a las 11:02 am
Fijate que hace como dos o tres años, el sitio de bital, ahora HSBC, tenia la misma vulnerabilidad con los numeros de cuenta, en donde solo podias consultar saldos. En esa ocacion nos era muy util porque hicimos un programa que consultaba los saldos cuando era quincena y nos notificaba via “Net Send” cuando nos pagaban a todos los del departamento de desarrollo. Despues de unos 9 meses se dieron cuenta y cerraron la vulnerabilidad.
Ivan comenta: February 20, 2007 a las 3:09 pm
Amigo, creo que es importante lo que comentas, pero aunque un banco tenga un sistema muy seguro, no sirve de nada, si el mismo banco que maneja ese sistema te quiere robar.

Checa: http://www.robosbancarios.com/

El mismo banco crea cuentas fantasma, luego los funcionarios se meten a las cuentas de los clientes, y hacen movimientos, y cuando reclaman, el banco comodamente responde que es tu culpa.

Saludos.
anonimo comenta: September 23, 2008 a las 5:36 pm
Hay un manera en la que los gerentes de los bancos roban dinero a los clientes, para después fulminarlos arteramente, resulta que el gerente puede autorizar un cheque, y pasarlo a cajas, sin pagarlo a el dueño de esa cuenta bancaria, el gerente puede autorizarlo aunque el dueño de la cuenta no este presente, el cheque lo van a deducir, de la cuenta bancaria y de el total del dinero en la caja de seguridad, pero el dinero no se lo van a dar a el dueño de la cuenta, lo van a dejar adentro en la caja de seguridad, el contador va a contar los cheques pagados, y los va a deducir de el total del dinero en el banco, pero el dinero no se movió, después el gerente lo va a sacar, en un camión blindado, junto con otro dinero que envían a alguna empresa, en la empresa ya hay gente lista para tomar ese dinero, esta ha sido un practica regular que usan en los bancos para robar dinero a los clientes, pasan el cheque lo deducen del total de la caja de seguridad, y después cuando lo pueden sacar lo hacen casi mandan matar a el dueño de la cuenta a la que fue robado ese dinero, sin ensuciarse las manos, esta a sido una practica común en México, porque en México los gerentes autorizan cheques de las cuentas bancarias de un hombre de negocio norteamericano de los varios negocios que hay en México, lo peligroso es que se cree que ese dinero lo han usado para practicas ilegales inhumanas
Mr p comenta: March 2, 2009 a las 12:09 pm
muy interesante el ultimo comentario hasta que empezo con idioteces de lo de las practicas inhumanas…

Opina

Tu cuenta de correo es requerida pero no será publicada
Algunas etiquetas HTML permitidas: <a>, <strong>, <i> y <em>
Por favor mantente dentro del tema

Videos recomendados

Posts destacados

Posts relacionados

La mejor parodia de Steve Jobs que se ha hecho en una pantalla

Esta entrada contiene un video, si estás leyendo desde la feed, visita el sitio para verlo La nueva película de Robert Rodriguez, Shorts me parecía una clásica historia para niños a la Spy Kids y no tenía el menor interés de verla hasta que me encontré con este clip. [>>]

Padres geeks y las hijas que los desobedecen

Esta entrada contiene un video, si estás leyendo desde la feed, visita el sitio para verlo Your insolence...FOR THE LOSE! [>>]

The Pirate Bay acaba de ser vendida a una compañía de software

Los sueños de esta niña de convertirse en pirata acaban de ser destruidos En la categoría de noticias "por favor díganme que es día de los inocentes en Suecia", la compañía de software **Global Gaming Factory X**, de la que nadie había escuchado hablar hasta hoy, anu [>>]