Dos de los primeros sitios españoles de comercio electrónico,
Uno-e y El Corte Inglés, han sido noticia en las últimas horas. En ambos casos
por problemas derivados en la seguridad que aplican en sus sitios y que
posibilitan que elementos sin escrúpulos puedan manipular u obtener ilegalmente
datos privados de sus usuarios. El caso Uno-e
Un grupo de hackers, conocidos con el nombre de "Mentes
inquietes" ha publicado en su página Web diversas pruebas de como pudieron
acceder a cuentas de otros usuarios, simplemente "cambiando" de manera aleatoria
el "ID" que se asigna a cada usuario una vez ha accedido al sitio online.
Cualquiera, explican en su página Web podía ver las cuentas,
el saldo y otra información personal de los clientes del banco online.
"El que estos datos sean fácilmente accesibles por cualquiera
minimamente habilidoso puede permitir a terceros malintencionados el uso de los
mismos con carácter fraudulento y estafar a clientes de dicha entidad mediante
ingeniería social", explican los hackers en su web.
Los hackers levantaron incluso una acta notarial sobre estas
vulnerabilidades, protegiéndose así de cualquier acusación de "manipulación" que
la entidad pudiera ejercer.
El Banco ha informado ya que el "agujero" ha sido solucionado
y que la privacidad de sus clientes y sus cuentas están a salvo, aunque durante
semanas no haya sido así.
El caso El Corte Inglés
En esta ocasión, ha sido un informático,
Lorenzo Hernandez Garcia-Hierro,, quien descubrió
que la tienda electrónica más visitada en nuestro país es vulnerable de
ser usada para un ataque XSS ( Cross Site Scripting ).
Aprovechando esta vulnerabilidad (solo utilizable en el
contexto del cliente), se pueden falsificar y modificar formularios de
identificación para engañar al cliente y hacerle pensar que se encuentra ante el
Corte Inglés cuando realmente también está conectado a una página IFRAME donde
se puede incluir de forma "transparente" un sistema de login/identificación del
cliente falsificado en otro sitio y que envie los datos del cliente al atacante,
robar las cookies de datos del usuario o incluir archivos ejecutables en el
cliente (con navegador Internet Explorer).
La Asociación de Internautas que ha tenido conocimiento del
hecho recomienda a los internautas que hasta que no se
subsane dicho fallo de seguridad no accedan a dicha web desde ningún enlace
externo, sino tecleando directamente en el navegador su dirección.
Dos casos, de empresas de "primera categoría" que pueden
echar por tierra los esfuerzos que se están realizando para aumentar la
confianza de los consumidores en las compras online y la seguridad de estas,
primer factor señalado en distintos estudios de preocupación por parte de los
cybercompradores.
|