Falla de seguridad de CorreosChile sería la vía por la que se habrían filtrado los datos bancarios
Todos los ojos están puestos sobre Correos de Chile, luego de que usuarios acudieran a las redes sociales para manifestar una posible conexión entre sus datos robados y el servicio de Casilla que la empresa tiene en Miami.
Este servicio permite a los clientes adquirir productos directamente en Estados Unidos, para ser posteriormente enviados a nuestro país.
Carlos Oliva, desarrollador de software independiente y miembro de la consultora Sigma 5, es uno de los especialistas que investigó esta posibilidad, consigna una publicación en la página web de Radio BioBio.
Según relató a la radioemisora, “anoche contactamos a varios afectados que aparecían en el listado y todos coincidían con ser clientes del servicio de casillas de CorreosChile en Miami”.
Indagando, encontró que, el sitio pide los mismos datos que fueron filtrados.
“Solicita directamente los datos de tarjeta de los usuarios, nombre titular, número, fecha vencimiento, CVV (código de seguridad) y nombre emisor, que son justamente los que se filtraron”, indicó.
Esta debilidad haría una diferencia de este servicio respecto de la gran mayoría de los comercios, dijo, puesto que estos tienden a operar directamente con Transbank a través de Webpay.
La teoría coincide con lo dicho por los responsables del hackeo, los autodenominados TheShadowBrokers, respecto que la información fue obtenida mediante los ‘portales de pago’ directamente asociados a los bancos.
Sin embargo, no especificaron cuales serían dichos portales de pago.
Correos Chile, confirmó a través de Twitter que se encontraban investigando la situación. Más tarde, ante los cuestionamientos, dijo haber analizado la situación y descartó que la filtración haya tenido que ver con sus sistemas.
Sin embargo, hay varios motivos por los que los especialistas siguen sospechando de la empresa, según informa BioBío.
Por ejemplo, en privado habrían eliminado el principal rastro que parece inculparles, pero que fue registrado por el informático Fernando Lagos en la misma red social.
La API de Correos de Chile permite consultar las tarjetas de credito, sin embargo, en algunos casos el numero viene vacio y en otros muestra los ultimos 4 digitos. Si muestra el CVV, nombre del titular, banco y fecha de expiración.
El ingeniero chileno Javier Godoy Núñez, quien actualmente trabaja en Estados Unidos como experto en comercio electrónico, también investigó.
Explica que efectivamente ellos tenían en la página un conector que otorgaba la posibilidad de modificar la tarjeta de los clientes que tenían iniciada la sesión y al mismo tiempo obtener la información de vuelta.
“Eso creo que pudo haber sido lo que obtuvo esta persona que lo publicó por Twitter”, dijo, refiriéndose a Fernando Lagos.
Indicó que, si bien CorreosChile habría estado exponiendo la información de forma “segura”, mostrando sólo los datos del usuario que tenía su sesión iniciada, tendrían una API (sistema que permite comunicar datos hacia otras aplicaciones) que permitía ver la información sin restricciones. Es decir, sin siquiera ocultar algunos dígitos o mostrar sólo los últimos 4 como se suele hacer para evitar brechas de seguridad. Señala asimismo que Correos, tras darse cuenta de la divulgación de la información por Twitter y de inmediato eliminaron toda referencia a esa API en el código fuente de la página".
Las críticas a la cuestionada casilla no acaban ahí, ya que Godoy también pudo ver reclamos de clientes a los que se hicieron cargos en sus cuentas tras usar el servicio. “Les salieron compras en otros lados que nunca ellos habían hecho con sus tarjetas de crédito”.
