La filial británica del Banco Santander almacena números de tarjetas de crédito en cookies

Investigador revela que Santander almacena datos confidenciales en cookies.

Cuando se trata de seguridad, Santander, uno de los bancos más grandes del mundo, es una “broma”. Al menos esto es lo que afirmó recientemente un investigador de seguridad que analizó cuidadosamente el sitio web de la institución.

“Ya estoy harto de insistir en que deben solucionar unos problemas que cualquier otro banco solucionaría en segundos, como vulnerabilidades XSS en las páginas de inicio de sesión, etc. Ha llegado la hora de divulgar algunas de estas cuestiones con la esperanza de que los oficiales del banco ofrecerán a sus clientes la seguridad que se merecen”, explicó un experto de Seclist.org.

El investigador también reveló que el sitio web del servicio bancario online de Santander Reino Unido expone información confidencial mediante su almacenamiento en cookies.

Según la sección del sitio web al que los clientes acceden al realizar operaciones bancarias en línea, sus nombres, cuentas de usuario, números de tarjeta de crédito (PAN), números de cuentas bancarias y otros datos importantes se transmiten vía cookies.

Por ejemplo, al seleccionar una tarjeta en la sección de tarjetas de crédito del sitio web, se configura una cookie que contiene el número de la tarjeta de crédito.

La cookie NewUniversalCookie está codificada en la base64, pero cuando se decodifica, revela información como nombre, alias y cuenta de usuario.

En general, los expertos desaconsejan el almacenamiento de información confidencial en cookies porque los atacantes pueden conseguir fácilmente una suspensión de la misma. Además, la industria de pagos con tarjeta (PCI) Data Security Standard establece claramente que la información de las tarjetas de crédito no debe transmitirse a través de cookies.

“Aunque las cookies expiran al final de una sesión, éstas no se sobrescriben al cerrar sesión. Esto significa que cualquier usuario que no cierra su navegador, incluso si cierra la sesión correctamente, mantiene ests cookies hasta que apaga el navegador y esto incrementa la posibilidad de que su ventana sea expuesta”, explicó el experto.

Por otro lado, en su sección de Seguridad y Privacidad, Santander afirma que “las cookies usadas en la web no contienen información sobre el nombre o la dirección del usuario”. Esto significa que la empresa está incumpliendo su propia política.

Fuente: Softpedia

Los comentarios están cerrados.