Entidades bancarias españolas ante el phishing II
22 febrero 2009
#######################################
Entidades bancarias españolas ante el phishing II
#######################################
Este articulo es una segunda parte de este otro:
La banca española ante el phishing
Despues del estudio realizado sobre el estado
de la banca española ante el phishing,me gustaria
decir como ha sido la relacion y que ha pasado
despues de ese articulo.
Se ha intentando notificar a las entidades afectadas
Los problemas encontrados en sus webs , atraves de los
cuales atacantes remotos podrian intentar lanzar ataques
de phishing sobre las mimas webs de estas entidades.
Para la decepcion general,ha sido una minoria de las
entidades afectadas las que han contentado o se han
interesado por saber algunoslos posibles puntos flacos
de sus webs.
No se les ha pedido nada mas que parchearan sus webs
y se les ha ofrecido ayuda y orientacion ,asi como
el reporte de todos las vulnerabilidades encontradas,
y siendo todo esto ofrecido sin ningun animo de lucro.
En vista del poco interes prestado, lo mas logico es
poner una señal de stop y hacer una reflexion seria
sobre si tan seguros son los servicios que nos ofrecen
como se empeñan en mostrarnos en sellos y sellos de calidad
y garantia.
Casi todos suelen escudarse en que por falta de tiempo se
sacan a produccion partes o proyectos que no han sido aun
bien probados o testeados a fondo....
No deberian Antes de hacer eso , testear y retestear , para
no poner en peligro otras partes dela web?.
No revelo las vulnerabilidades por motivos obvios
pero entre ellas se haya una muy grave la cual
la entidad afetada deberia correjir cuanto antes;
pues permite la inclusion de todo un sitio web
bajo un frame en su dominio, las demas son agujeros
xss y sql injection , asi como algun escape de
informacion suficiente para lanzar un aatque de tipo
ingenieria social.
Me dejo dos en el tintero que son las que parecen
dispuestas aparchear y merecen su tiempo para ello
al menos por el interes prestado.
Las entidades afectadas son :
##############
servicaixa
##############
http://www.servicaixa.com
###########
sa nostra
###########
www.sanostra.es
###############
caixa sabadell
###############
http://www.caixasabadell.com
##################
caixa manresa
##############
http://www.caixamanresa.es
###########
caja duero
###########
https://www.cajaduero.es
###########
cajasol
###########
http://www.cajasol.es
##############
deutsche-bank
###############
http://www.deutsche-bank.es
#####################
kutxa.net
####################
http://www.kutxa.net
se les notifico un agujero xss
y este ha sido pacheado.
###########
Banesto
############
http://www.banesto.es
###################
banco santander:
###################
https://www.bancosantander.es
###########
cajastur
###########
http://www.cajastur.es
################€nd###################
--
atentamente:
Lostmon (Lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group:http://groups.google.com/group/lostmon (new)
--
thz Lost :-)
Entidades bancarias españolas ante el phishing II
#######################################
Este articulo es una segunda parte de este otro:
La banca española ante el phishing
Despues del estudio realizado sobre el estado
de la banca española ante el phishing,me gustaria
decir como ha sido la relacion y que ha pasado
despues de ese articulo.
Se ha intentando notificar a las entidades afectadas
Los problemas encontrados en sus webs , atraves de los
cuales atacantes remotos podrian intentar lanzar ataques
de phishing sobre las mimas webs de estas entidades.
Para la decepcion general,ha sido una minoria de las
entidades afectadas las que han contentado o se han
interesado por saber algunoslos posibles puntos flacos
de sus webs.
No se les ha pedido nada mas que parchearan sus webs
y se les ha ofrecido ayuda y orientacion ,asi como
el reporte de todos las vulnerabilidades encontradas,
y siendo todo esto ofrecido sin ningun animo de lucro.
En vista del poco interes prestado, lo mas logico es
poner una señal de stop y hacer una reflexion seria
sobre si tan seguros son los servicios que nos ofrecen
como se empeñan en mostrarnos en sellos y sellos de calidad
y garantia.
Casi todos suelen escudarse en que por falta de tiempo se
sacan a produccion partes o proyectos que no han sido aun
bien probados o testeados a fondo....
No deberian Antes de hacer eso , testear y retestear , para
no poner en peligro otras partes dela web?.
No revelo las vulnerabilidades por motivos obvios
pero entre ellas se haya una muy grave la cual
la entidad afetada deberia correjir cuanto antes;
pues permite la inclusion de todo un sitio web
bajo un frame en su dominio, las demas son agujeros
xss y sql injection , asi como algun escape de
informacion suficiente para lanzar un aatque de tipo
ingenieria social.
Me dejo dos en el tintero que son las que parecen
dispuestas aparchear y merecen su tiempo para ello
al menos por el interes prestado.
Las entidades afectadas son :
##############
servicaixa
##############
http://www.servicaixa.com
###########
sa nostra
###########
www.sanostra.es
###############
caixa sabadell
###############
http://www.caixasabadell.com
##################
caixa manresa
##############
http://www.caixamanresa.es
###########
caja duero
###########
https://www.cajaduero.es
###########
cajasol
###########
http://www.cajasol.es
##############
deutsche-bank
###############
http://www.deutsche-bank.es
#####################
kutxa.net
####################
http://www.kutxa.net
se les notifico un agujero xss
y este ha sido pacheado.
###########
Banesto
############
http://www.banesto.es
###################
banco santander:
###################
https://www.bancosantander.es
###########
cajastur
###########
http://www.cajastur.es
################€nd###################
--
atentamente:
Lostmon (Lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group:http://groups.google.com/group/lostmon (new)
--
thz Lost :-)
Publicar un comentario