Investigador denunció grave vulnerabilidad en banco chileno
Eduardo Riveros realizó una charla sobre cómo se puede trampear la compra, sin necesidad de tener una segunda medida de seguridad.
¿Qué tan seguros son las transacciones bancarias? El investigador y estudiante de ingeniería en informática Eduardo Riveros realizó una grave denuncia en una conferencia de seguridad: un banco nacional sufre de una vulnerabilidad en su sistema de compras.
En la charla "Gran promo: todas tus compras gratis", Riveros entra en detalles técnicos que permiten defraudar al sistema y perjudicar a alguien más. De nada sirven las medidas de seguridad.
El descubrimiento lo hizo a raíz del concurso "Yo viajo con el Chile", el que causó polémica el año pasado debido a que el ganador fue cuestionado y era acusado de trabajar en la misma empresa.
"Presenté hace un tiempo sobre una seria vulnerabilidad de un banco nacional, que permite a un atacante comprar cosas cargando el costo a cualquier persona, solo conociendo su RUT", explicó Riveros.
Con el profesor Alejandro Hevia investigaron y encontraron brechas en el sistema de autorización de dos factores del banco: la clave del cliente y el código proveniente de un token, una tarjeta de coordenadas o un app móvil.
En la presentación, Riveros mostró cómo se podían comprar o sacar dineros ajenos. "Basta con conseguir una autorización y una cuenta para acceder a los fondos de cualquier cliente", dice en su presentación.
El Banco de Chile acusó el golpe y reaccionó en redes sociales afirmando que "realizadas las revisiones correspondientes, informamos que el incidente informado el día miércoles fue solucionado. No existen clientes afectados y nuestros sistemas funcionan con total normalidad y seguridad".
Realizadas las revisiones correspondientes, informamos que el incidente informado el día miércoles fue solucionado. No existen clientes afectados y nuestros sistemas funcionan con total normalidad y seguridad.
— Banco de Chile (@bancodechile) 28 de abril de 2018
La charla:
Esta es la presentación: