Nuevamente en la mira el portal de pagos “más seguro” de chile, Servipag.com. Ayer durante el día en el twitter de Servipag, @ServipagOnline, publicaron una frase que me llamó la atención, en la que le decian a sus followers o clientes que todos sus datos y transacciones estaban correctamente asegurados ya que utilizan la tecnología SSL
Lo unico que hace Servipag con este comentario es generar una falsa sensación de seguridad, les voy a decir por qué …
Primero que todo, esa tecnología SSL de la que hablan significa que, mediante un certificado, cifran la información que viaja desde el servidor hasta los usuarios, permitiendo una comunicación segura y que -en teoría- no puede ser interceptada. Además le entrega una identidad de confianza al dominio. En la practica suena muy bonito y considerando lo que estos amigos de Servipag nos dicen, podriamos estar 100% confiados de que nuestra información está debidamente protegida y que nuestras transacciones jamás podrían ser interceptadas, sin embargo, esto no es así.
Exiten distintas formas de romper la comunicación segura entre el cliente y el servior, como por ejemplo ataques mediante SSLStrip o bien aprovechandose de los certificados débiles realizando ataques B.E.A.S.T/C.R.I.M.E, pero lo que mostraré en este post es mucho más simple y no hay que ser un hacker ingenioso para poder entenderlo ni ponerlo en practica, lo único que hacemos será usar Google.
Lo que vamos a hacer es sencillo, simplemente le diremos a Google que busque dentro del sitio de Servipag.com las palabras “Tx”, “Rut” o “Rut2″ en la URL.
En el resultado de una de las busquedas, encontramos lo siguiente:
En estos resultados podemos ver en la URL el RUT de una persona asociado a un correo electrónico y a un “banco”. Por ejemplo, ingresamos al segundo resultado cuya URL es https://www.servipag.com/browse.asp?pagina=servipag/inter_bcobci.htm&usuario=EXPRESS&banco=16&tipo=1&cuenta=0000&rut2=0XX043687X&mail=rockXXXXXX@live.cl (algunas letras han sido reemplazadas por X por seguridad). Si se fijan lo que viene despues de “browse.asp?pagina=” dice “inter_bcobci“, por lo tanto ya sabemos que el rut XX.043.687-X tiene cuenta en correo BCI y su dirección de correo electrónico es rockXXXXXX@live.cl. Todos sabemos lo fácil que es obtener el nombre completo de una persona solo con su rut, en este caso este rut corresponde a Patricia L. M. Rodriguez (omití el segundo nombre y primer apellido). Bien, gracias a Servipag tenemos el RUT, correo, banco y nombre completo de uno de sus usuarios, información necesaria para realizar algun tipo de fraude.
Otro ejemplo es usar Google para buscar cupones de pago o deudas a pagar. Servipag incrusta en algunas urls la variable “idTx” para hace referencia al ID de una transacción, por lo tanto vamos a buscar lo que Google nos entrega si le decimos que nos busque “idTx” dentro de Servipag.com:
Si pinchamos el resultado, nos lleva a la URL https://www.servipag.com/BotonPago/BotonPago/MediosPago?idTx=00800000006031000000303102&rut=XX767822X&nombre=marcelaXXXXXtoledo (algunas letras han sido reemplazadas por X por seguridad), donde podemos ver el ID de la transacción, el RUT y el nombre de quien realizó el pago. Y lo peor, es que al ingresar a ese link nos indica que cuenta estamos pagando y el valor
Gracias a esto, tenemos la siguiente información: RUT y nombre del deudor, monto exacto de la deuda y el servicio al cual corresponde la deuda. Información suficiente para poder engañar el usuario y generar algun tipo de fraude.
Y podría seguir con muchos otros ejemplos …
Lo más irónico de todo esto, es que en el mismo portal de Servipag ellos indican que cumplen con los más altos estandares de segurida da nivel internacional y los datos y transacciones son 100% seguros y 100% privados. Aqui pueden leer el chiste: https://www.servipag.com/Portal-De-Pagos-En-Linea/Home/Seguridad. Espero que aprendan que la seguridad al 100% no existe.