Uno-e soluciona un agujero de seguridad

Un cliente de Uno-e descubrió un agujero de seguridad en el sistema de la entidad por el que podía consultar aleatoriamente la información de otros clientes: productos y saldos, aunque en ningún caso podía realizar movimientos transaccionales.

"El fallo en el sistema se localizaba, según fuentes del propio banco, "oculto en un proceso de salto de página". De esta manera, y tal y como denunciaba el cliente, se podía acceder a sus propios datos como cliente (códigos como el USER_ID) y, al cambiar uno de los identificadores en el formulario, conseguía entrar en otras cuentas, siempre de forma aleatoria.

De esta manera, quedaban al descubierto datos de clientes tales como nombre, domicilio, titulares y movimientos tanto de cuentas como de tarjetas, etc."

El problema papece que ya está solucionado.

Más en http://www.elmundo.es/navegante/2003/05/23/seguridad/1053688313.html

Un saludo.

Menos mal que el fallo lo encontró un cliente honrado si lo descubre algún indeseable podría haber sido horrible para la entidad por la desconfianza creada y principalmente para los clientes.

Pero antes estos casos que responsabilidad tiene la entidad? Se supone que los datos de un cliente quedan bajo la "custodia" de la entidad y que en ningún caso pueden ser revelados a terceros.

¿Nos podemos fiar de la seguridad de la banca online?

Creo que tiene toda la responsabilidad y si fueras cliente de dicha entidad siempre podrías denunciar el caso junto con otros clientes perjudicados. El banco justifica el hecho diciendo que no se podía operar con las cuentas de otros clientes y que había que hacer ¿esperar a que un experto informático lo hubiera conseguido?. Para mi ya es sufiente responsabilidad por parte de la entidad que cualquier persona pueda obtener datos personales sin el consentimiento del cliente.

Pese a las apariencias de restauración del orden, un incidente como este puede ser la espita que haga estallar la angustia ante un nuevo desorden. Este incidente, que puede parecer deshilachado, en realidad es una madeja que revela una tremenda improvisación, muy comentada en el foro, por parte de esta entidad en particular. En este sentido, los ciudadanos tenemos derecho a percibir que las instituciones del Estado nos protejen más, ya no sólo off-line sino también on-line. Exigimos mayor seguridad en la gestión de la transición off/on, que ninguna entidad siembre una semilla de inseguridad que se transmita al resto. No queremos que un Chernóbil de las finanzas on-line sea el motor indeseable de nuestra exigencia.

Los crackers llevan accediendo a los sistemas informáticos de bancos desde que son crackers. El problema en Uno-e viene porque el tipo que accedió al sistema dice que no era ningún experto y dice que le resultó muy sencillo, eso si preocupa.

No se trata de una crisis de confianza en la banca online, pero una llamada de atención si hay que darles.

Hay dos tipos de daños los economicos y los, por así decirlo morales al haber difundido una parte más o menos importante de tu intimidad. Los datos bancarios son confidenciales y deben estar protegidos por unas medidas de seguridad . En este caso y dado que al parecer no ha existido más que un acceso a datos confidenciales por parte de terceros no autorizados sin perjuicios economicos cabria l aposibilidad de interponer una denuncia ante la agencia de protección de datos. Y si se esos datos fueran difundidos a terceros cabria la posibilidad de indemnización ( sería el caso de que por ejemplo en tu trabajo se conocieran algun gasto personal comprometedor)

El problema para los clientes de Uno-e es que no saben si son datos han estado al alcance del público o no. Se sabe que ha habido un agujero de seguridad y que un usuario ha descubierto la posibilidad de acceder a esos datos, pero no si alguien ha accedido y a qué datos lo ha hecho.

Haría falta una mayor investigación del caso por las autoridades, pero seguramente quedará en nada.

Un saludo.