26 abr. 2018

Hackeando un Banco 2 (Caso Real) [Transferir Dinero + Comprar Gratis]


El día de ayer se realizó el LatamTour2018 en Chile, y el investigador Eduardo Riveros realizó una charla donde:
Se analiza el caso real de un portal chileno, con serios fallos de seguridad. Dónde aún después de 6 meses de ser advertido, no logra corregir sus vulnerabilidades. Se describirá las recomendaciones para disminuir o eliminar los riesgos detectados.

La charla llamada "Gran promo: Todas tus compras Gratis" habla sobre como fue posible :
  1. Transferir dinero con autorizaciones modificadas para parecer "regalos".
  2. Pagar productos con el dinero de cualquier cliente del banco sin datos de autorización (usuario(RUT)/contraseña).

Lo anecdótico de la situación, es que el Banco afectado es exactamente el mismo del cual hablo en Hackeando un Banco (Caso Real), y saca las mismas conclusiones con respecto a la falta de canales para notificar vulnerabilidades y la lentitud inexplicable para arreglarlos, sin duda preocupante.

Acá los dejo con la charla:


Las diapositivas:


Acá está el video de la demostración (citado en las diapositivas):



Fuentes:

[+] Salu2