In-Seguridad en Bancomer por Internet

 
 

Ayer me llegó el siguiente correo:

Hola mi estimado Linuxman, aquí enviándote un saludo y también para contarte un detalle curioso.

Notese que el número se teclea sin usar encriptación

Entré a la pagina de Bancomer (www.bancomer.com) a revisar mi estado de cuenta y en la parte superior derecha de la pagina hay un cuadro de texto con la leyenda “Acceso Express / teclee aqui su / Numero de tarjeta” y cuando pones ahí tu numero y presiones el botón “ir” los datos son enviados por un GET!!!! osea en la dirección URL de la siguiente pagina aparece la pareja de valores “tarjeta=numerodetutarjeta”!!!!! además si pones un numero de tarjeta equivocado no puedes accesar a la siguiente pagina, y además que la conexión no es segura…… bastante extraño no?? que un banco envie los datos de sus tarjeta habienets como texto plano y en la URL, en la pagina de banorte hasta un teclado virtual aparece para evitar a los keylogers.

Y para colmo el numero de tarjeta se guarda en el URL como parte del historial

Y te preguntaras porque me cuentan esto a mi :-) , pues hace ya tiempo que visito tu blog, lo encontré buscando información sobre Linux y he encontrado mucho mas que eso, y pues como se que te gusta hablar del PatasWare pues creo que esta pagina aplica, al menos en seguridad, eso si pasado cierto tiempo la pagina te hace un logout automático…. sera para que re envies tus datos por si no los capturaron la primera ves, jajaja.

bueno adios, un saludo desde monterrey nos vemos.

Dr. Antonio Sánchez U.

Muchas gracias Antonio por tu correo y después se andan quejando si ellos mismos son los que se hacen el harakiri. Me tomé la libertad de ilustrar la nota.

Has llegado aquí buscando:

  • numero de tarjeta
  • www bancomer com
  • cual es el numero de tarjeta
  • numero de tarjeta bancomer
  • numero de una tarjeta
Posted on 28/11/2006 by . This entry was posted in Bug Hunter, Linuxman responde. Bookmark the permalink.

7 Comments

  • kad
    28/11/2006 - 12:47 pm | Permalink

    Falta información… Si, bancomer hace esa onda de pasarlos por el GET, pero te faltó decir que de ahi se va a una página con un iframe (el cual si esta por https) donde tienes que escribir tu contraseña, una vez que manda la contraseña tienes que escribir un dígito aleatorio de una tarjeta que te dan en el banco. La seguridad no es un solo paso, sino una serie de mecanismos que en su conjunto te ofrecen eso. En resumen, si una persona puede “sniffear” tu numero de tarjeta (que puede conseguir de muchas otras maneras) le faltan aun 2 mecanismos mas que vencer los cuales se transmiten por un canal seguro. Hay que informarse más antes de afirmar que se hacen el harakiri.

    Reply
  • RIVE
    28/11/2006 - 12:48 pm | Permalink

    Ya ni chingan, por eso no uso Banca Electrónica, ademas quiero que los cajeros/as (sobretodo las guapas) conserven su empleo:

    Checa http://www.robosbancarios.com/ BBVA Bancomer en ves de banco parece la Cueva de Ali Baba.

    Saludos

    Reply
  • linuxman
    28/11/2006 - 2:56 pm | Permalink

    Perdón kad, pero el hecho ahí esta, se deja información sensible al alcance de cualquiera.

    Por regla general, cualquier intercambio de información entre un banco y el cliente se debe de hacer mediante un canal seguro (como https).

    No se diga el hecho de dejar el numero de tarjeta como parte del URL.

    Reply
  • Juan Manuel
    23/05/2007 - 8:02 pm | Permalink

    Que esperaban, si los Ejecutivos de BBVA Bancomer, son parte de una mafia, que existe desde la fusion BBVA con Bancomer http://fraudes-bancomer.blogspot.com/

    Que importa, si su portal fuera el mas seguro, si del otro lado del sistema, estan los verdaderos rateros, o sea, los ejecutivos y altos funcionarios de BBVA Bancomer.

    Reply
  • Elizabeth
    07/05/2009 - 5:47 pm | Permalink

    Lei este comentario y me llama mucho la atención porque he sido presa de la delincuencia y negligencia de bancomer me estan requiriendo les pague mas de 121000, por compras que dicen se hicieron via internet en un portal que llaman seguro, por vía compra segura en una empresa que ya tienen identificada como fraudulenta llamada laboratorios julio Mu, de Guadalajara. me podría orientar como puedo investigar estos portales y como se efectuan estas compras y como podría ver como lo hicieron. Gracias.

    Reply
  • alejandro
    14/07/2012 - 7:11 pm | Permalink

    Además parece que bancomer.com no tiene credenciales contra el phishing, no se si bancomer tiene página oficial o si su página oficial no tiene credenciales, ¿alguien tiene una idea de que onda con esto? ¿o mi servidor DNS esta comprometido?

    Reply
    • Linuxman
      23/07/2012 - 8:42 am | Permalink

      Queee te puedo decir, hace tiempo que escribí este artículo y parece que no ha progresado mucho. Tendría que ver tu equipo, pero al parecer lo que ocurre es que Bancomer no esta al día en algunos aspectos de seguridad. Por ejemplo, visita Wells Fargo que es un banco en USA, la página principal esta cifrada y sus credenciales son perfectamente válidas.

      Reply

    • Leave a Reply

    Your email address will not be published. Required fields are marked *

    You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

    LinuxmanR4.com: Todas las imágenes, nombres de productos y nombres de empresa o logotipos citados en esta página web son propiedad de sus respectivos propietarios. Todos los artículos publicados están publicados bajo la licencia Creative Commons Atribución-NoComercial-SinDerivadas 2.5 México (CC BY-NC-ND 2.5). Utiliza software libre.

    %d bloggers like this: