El dia que reporte un bug al banco de chile.

ricm

Se incorporó
28 Agosto 2005
Mensajes
7.589
Disclaimer: no me acuerdo todo perfecto, así que puede haber algunos errores.

Dia a día por pega ingreso al sitio web del banco de chile, y se me de memoria el aspecto de la página, y a grandes rasgos cómo funciona. En el portal de empresas es una foto típica corporativa del costanera center y la cordillera de fondo, con el formulario de ingreso sobre ella.
bch2.png


Un día como cualquier otro, ingrese a ver mis millones de dólares, y me llevo la sorpresa de que la pagina se ve extraña. Una remodelación podrá pensar alguno, dado que no es extraño que se haga eso.

Lo que era diferente era que no se usaban la combinación de colores corporativos, pq el morado no corresponde.

Captura de pantalla 2022-03-18 113417.png




Como tenia toda la pinta de ser un intento de phishing, abrí la pagina desde el celular y paso lo mismo. En un total de 4 dispositivos la misma url mostraba lo mismo. También en 3 redes distintas (2 wifi, 1 movil)

Si se fijaron, la pagina aparece con un certificado SSL valido, la URL es la del banco, no de esas que usan un cero como una letra o, etc. Claramente era problema del banco. El siguiente paso fue revisar el código de fuente para buscar la parte relevante del código y ver a donde se iba la info del formulario. Resulto ser un formulario típico HTML con POST que enviaba la info no a hackers.com sino a la web real del banco.

Entonces llame al banco con la intención de reportar. Me atienda una telefonista y le cuento lo que esto viendo. Ella me pregunta: “como accedió al banco?” a lo que respondí super detalladamente el proceso. “abri el navegador, aprete el icono del banco” (que se auto genera en Firefox de los sitios que mas visitas)

Ahí a la telefonista le sonaron las alarmas de que eso no se debe hacer. Claro, entiendo el por que, alguien podría haberlo cambiado maliciosamente en mi navegador. pero no, no es el caso.

Me dice que la solución es escribir manualmente la web y apretar los montones de clicks que me ahorre con el acceso directo de Firefox.

Le dije que OK, valid point. Pero no estoy pidiendo tech support, quiero reportar el bug pq la URL es válida, y tiene candadito (cert ssl) no necesito que me diga como entrar al banco, necesito un mail para mandarle la info.

Me insistió que la obligaban a decirme que por favor hiciera los pasos que ella me iba a dictar pq era estándar. Así que me dice que cierre el Chrome y lo abra de nuevo. Le respondi que no tengo Chrome y que uso Firefox. Me dice que solo tiene instrucciones para Chrome y no Firefox.

Después de un palabrerío termine instalando Chrome solo para borrar cookies que nunca he tenido pq nunca había usado Chrome. Después de todo ese tiempo inútil no recuerdo si la llamada se corto o ellos me cortaron. Así que me quede sin reportar nada.

Lo encontré super frustrante.

La cosa es que al rato mejore mi discurso y llame de nuevo, le dije a otra operadora algo como lo siguiente: Hola, quiero reportar un intento de phishing y la operadora anterior no me recibe la imagen que intento mandar, me puedes dar tu mail?

Así que me lo dio, y me dijo que me iban a contactar de vuelta. Le dije que gracias (por no hacerme instalar Chrome de nuevo) y corté. Le mande el mail y nunca mas supe nada del banco.

Lo recibieron? Who Knows.
Me dieron muchos millones por esto? No.
Ya pero luksic te invito a comer al tip y tap? No.
Te pidieron mas datos de como ocurrio? No.
Te respondieron el mail o algo? No.
Ni una llamada weona? No.

Una se imaginaria que una institucion que tiene bastante que perder, haria un esfuerzo por saber como ocurrio esto. Poner tu clave en un formulario no legitimo no es un problema leve, es grave.
 
Última modificación:

guaripolo

Fanático
Se incorporó
21 Agosto 2006
Mensajes
1.355
El banco de chile es como la re pichula.

Recuerdo el 2013, llegue de rebote a una implementación fallida de teradata que ya se estaba hundiendo. Los locos en "el nucleo" corrigen archivos planos directo en productivo, para luego reprocesarlos (a mano) y que les cuadren los saldos de cuentas.

el horror.
 

t3b4n

Ocioso
Se incorporó
27 Febrero 2006
Mensajes
1.659
Uno como cliente ya se da cuenta de que el banco es como las weas. Por ahí por el 2013 igual, en la pega hicieron un convenio y nos forzaron a todos a recibir el sueldo en una cuenta vista del Banco De Chile. Ha sido la peor experiencia que he tenido con un banco, debajo incluso del Banco Estado. Todos nos aburrimos y reclamamos que nos pagaran en nuestras cuentas usuales y cerramos la del banco de Chile. Nunca más he abierto productos con ellos ni pretendo hacerlo en el futuro, no pongo mis lucas en un sistema tan poco fiable.
 

razordasquad

Gold Member
Se incorporó
24 Octubre 2005
Mensajes
2.148
la mejor forma de reportar es via csirt chile, ya que es un canal mucho mas seguro y formal para pasar vulnerabilidades. por otra parte si no estas en programas de bug bounty es dificil que monetizes el esfuerzo de levantar vulns o bugs... trabajo en ciberseguridad hace algun tiempo y la verdad es comun que no paguen... a si que a olvidarse que te daran una giftcard. por ultimo el chile gasta el 25 de su PIB en ciberseguridad, lo que no es menor. saludos
 

MrRojano97

Capo
Se incorporó
11 Agosto 2019
Mensajes
218
La mejor forma de reportar estos problemas es mandando correos a la junta directiva, tienes muchas más posibilidades de que te hagan caso que intentar escalarlo por Call Center. En su momento pillé un bug que dejaba la contraseña del Banco Falabella expuesta sin cifrar al momento de hacer el POST.
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
El banco de chile es como la re pichula.

Recuerdo el 2013, llegue de rebote a una implementación fallida de teradata que ya se estaba hundiendo. Los locos en "el nucleo" corrigen archivos planos directo en productivo, para luego reprocesarlos (a mano) y que les cuadren los saldos de cuentas.

el horror.
Podríamos hacer una lista de los "dirty secrets" que foreros X han visto en sus trabajos o consultorías :zippy
 

ricm

Se incorporó
28 Agosto 2005
Mensajes
7.589
Lo que mas me parece mal es que ese formulario puede haber recolectado cientos o miles de claves, y nadie sabe. En este momento puede haber una base de datos armada ya.
 

clusten

ADMIN
Miembro del Equipo
ADMIN
Se incorporó
1 Julio 2007
Mensajes
6.239
Uno como cliente ya se da cuenta de que el banco es como las weas. Por ahí por el 2013 igual, en la pega hicieron un convenio y nos forzaron a todos a recibir el sueldo en una cuenta vista del Banco De Chile. Ha sido la peor experiencia que he tenido con un banco, debajo incluso del Banco Estado. Todos nos aburrimos y reclamamos que nos pagaran en nuestras cuentas usuales y cerramos la del banco de Chile. Nunca más he abierto productos con ellos ni pretendo hacerlo en el futuro, no pongo mis lucas en un sistema tan poco fiable.
Recuerdo que por ese año (puede que el 2013 hasta como 2015 haya sido) me invitaron a ser tester de la web, cuando cambiaron el diseño (me pagaban transporte y una gift card. El puro hecho que me sacaran de la ciudad empresarial valia la pena :zippy).

Di mi opinión y como cierre pregunté por un par de cosas que me parecían malas (organización de menú y que para ver saldos, uno tenga que hacer click, mientras en los otros bancos directo. Ese click extra es bien molesto). Ahí me confesó que hay varias cosas del banco que son decididas por los perros grandes y sus gustos, contra recomendaciones de los diseñadores de UI. Me dijo que el caso del click la razon fue que cuando presentaron, uno de los que cortaba el queque dijo "puede que haya alguien mirando mi dispositivo y vea mis saldos, hay que ocultarlos". Me miró con cara de "si, yo tambien encuentro probe argumento".
Me despedí y con ese puro dato ya entendí que la experiencia del banco siempre sería saboteada por algun genio y sus ideas, en lugar de lo que arman los que saben.
 

freishner

Capo
Se incorporó
16 Noviembre 2021
Mensajes
436
Yo recuerdo un día x, pasar por un banco x en mi localidad. Habían unas maquinitas donde podías mover una flecha. Me acerqué a la parte inferior de la pantalla y apareció windows 7. :xd

Abri una consola cmd, me movi por el sistema, y le dije a la sra de servicio al cliente, traigame al jefe de seguridad. Le expliqué lo que pasaba y mientras me miraba estupefacto, le comenté como podía llevarme los archivos ejecutables para estudio, a travéz del navegador enviándomelos por correo o subiéndolos a un servidor anónimo. Tambien como desde esa simple maquinita podía bajar cosas para instalar y mirar la red interna del banco.

El tipo llamó a Santiago, mandó fotos y les comentó como un estudiante de informática se había metido a mirar dentro de Windows. Hoy en día sigue la misma maquinita, pero la barra de tareas ya no aparece.

Éstas cosas nisiquiera son un tema de seguridad, solo se trata de que no hacen bien su pega... podrán pagar wena seguridad y tener claves de muchos megas, pero se les va todo a la B, cuando hacen mal lo mínimo que tenían que hacer bien.

Hasta el momento el banco que la pone mas dificil es banco estado, con su app ofuscada y akamai bot con sus famosas cookies e IA.
 

Lordnet

Autoridad Ancestral de Transacciones
Se incorporó
11 Junio 2004
Mensajes
2.231
yo en mi caso hubiese hablado con RRSS del banco y pedi el contacto para reportar phising, que muchos tienen, pero creo que no se imaginarían que la web fraudulenta sea la del propio banco.

pero si, reportar bugs en los sitios de los bancos es un kilombo. menos cuando el contactcenter no tiene protocolos pa eso.

me acuerdo que un banco no me mostraba las cartolas correctamente, me aburri de explicar el tema y le envié el reclamo a CMF. luego de eso me llamó el Gerente de Operaciones de la ADM FFMM y que lo iban a ver.

tambien debo decir que tuve una historia world class con banco de chile
reporté un bug en su app movil en android, que no funcionaba, no enrolaba bien el dispositivo de coordenadas.
cuento corto fue personal del banco a verme para ver el problema (trabajaba a unas cuadras). y haciendo traza y todo el cuento. quedé gratamente sorprendido.
 

guaripolo

Fanático
Se incorporó
21 Agosto 2006
Mensajes
1.355
Ahí me confesó que hay varias cosas del banco que son decididas por los perros grandes y sus gustos, contra recomendaciones de los diseñadores de UI. Me dijo que el caso del click la razon fue que cuando presentaron, uno de los que cortaba el queque dijo "puede que haya alguien mirando mi dispositivo y vea mis saldos, hay que ocultarlos". Me miró con cara de "si, yo tambien encuentro probe argumento".
Me despedí y con ese puro dato ya entendí que la experiencia del banco siempre sería saboteada por algun genio y sus ideas, en lugar de lo que arman los que saben.

El 2018 horst paulman (cencosud) frenó la compra de cornershop porque la app no le gustaba, después walmart hizo una oferta por 225 MUSD que no resulto por weas antimonopolios y finalmente lo compro uber por (Creo) 450 MUSD.

Dinosaurios qls los odio, pero me gustan cuando se mandan cagas y salen perdiendo. Horst hizo el ridículo en el directorio y en todos los darios lo agarraron pal webeo.
 

Cyborg

Capo
Se incorporó
3 Febrero 2006
Mensajes
425
Yo hace poco mandé un aviso sobre una pifia en la página del SII y solamente me respondieron que ya no recibían avisos desde el formulario "x", sino desde el "y", y que tenía que seguir no sé que otros pasos. Me dio lata y lo dejé hasta ahí. Por suerte no es un problema de seguridad, pero igual es molesto.
 

bobolu

Experimentado
Se incorporó
21 Octubre 2007
Mensajes
1.134
Entonces vamos a tener que mantener una tabla excel paralela con nuestras lucas dentro del banco?

Yo pensé que solo con banco estado al menos una vez al mes le sacaba un pantallazo a mis ahorros xD
 

Boulala22

Capo
Se incorporó
29 Abril 2020
Mensajes
173
y se hacen de rogar para ser notificados de incidencias en sus propias plataformas pencas :risas
que caigan solos estos weones callamperos, recuerdo cuando fue el hackeo a Banco Chile, y posteriormente el Banco Estado, hace unos años atrás. En algunos foros hicieron el seguimiento de que el gerente de seguridad informática era el mismo weon callampa, que lo habían echado del chile y cayo en el estado :risas

:monomeonhacer la pega bien, tener canales de denuncia de incidencias expeditos y procedimientos actualizados
:idolo ser unos pencas culiaos
 

nibal2

pajarón nuevo
MOD
Se incorporó
15 Junio 2007
Mensajes
2.898
Hace unos 3 app años hubo una filtración masiva de contraseñas que fue publicada por twitter, entre esos yo salí sorteado y me bloquearon la clave del Santander. Me llegó un correo, luego intenté entrar por la web del banco y no me dejaba, porque estaba bloqueada por seguridad, hasta ahí todo bien.
En la tarde llevé mi auto a la revisión técnica, entre todo el webeo quise hacer una transferencia y recordé lo de la clave bloqueada, así que ingresé a la web mobile del banco (no era responsiva, sino que una web distinta) cambié mi contraseña, para ello me pidió la contraseña antigua :retard Después de un rato, me pegué el alcachofazo que no debí poder hacerlo, porque la clave estaba bloqueada y además fue expuesta a todo el mundo.
Llamé al banco para reportar y me tramitaron caleta, pedí hablar con algún encargado de seguridad y solo a él le dije como había podido cambiar mi contraseña. Quedaron de llamarme, pero nunca más me contactaron. No tengo idea si arreglaron o no el problema que tenían, pero como estaba en la rev técnica no pude ver mas allá de lo evidente.
 

Supermanco

Miembro Activo
Se incorporó
15 Abril 2021
Mensajes
25
Son un desastre todos. Hace años se sabe del bug en que el acceso a BancoEstado se puede hacer con claves sin importar mayusculas/minusculas, al wey que me conto ese dato no quise ni preguntarle (era de los dinosaurios de Cobol), eso me lo comentaron pre pandemia (hasta creo que fue el ultimo día que trabaje en la oficina) y al dia de hoy ese problema persiste. Por supuesto, que se queden con mi millonaria cuenta RUT con saldo CERO, pero de una forma u otra son todos horribles con esas cosas, todo por externalizar servicios con empresas de papel o creadas por el amigo del amigo del amigo para acomodarse en las licitaciones que se inventan.
 

Zuljin

Fundador
Miembro del Equipo
Fundador
ADMIN
Se incorporó
15 Enero 2004
Mensajes
11.872
Yo creo que reaccionan así porque hay una cultura que dice que bug del sistema es cagazo, verguenza, ir a pegarle latigazos al departamento de desarrollo y cosas así, entonces cualquier reporte significa para ellos una mancha en su hoja de vida impoluta.

Y puta nopos, si los bugs son parte del ciclo de software. En otro thread un socio contó que reportó un bug a una compañía gringa y de agradecimiento le subieron la cuenta gratis porque básicamente cubriste el porcentaje de fallas que se le pasa a un QA.

 
Subir