Bug en efecty virtual permitía ver datos privados de clientes

Hoy les voy a hablar de una falla de seguridad que había encontrado hace meses en la pagina web de efectyvirtual.com, pero por mas que trate de notificarla no pude hacerlo porque sencillamente no prestan atención a los mensajes de sus redes sociales, lo reporte vía facebook y twitter (no encontré el correo del webmaster, ni de una autoridad superior que pudiera tomar una acción), ahora que dicha falla fue solucionada me tomo el atrevimiento de hacerlo publico.

Pero antes, ¿Que es efectyvirtual.com?

Según la pagina de ellos “Brindamos soluciones sustentables en transacciones y medios de pago que contribuyen al bienestar económico, social y ambiental de nuestros grupos de interés, con innovación y excelencia”, y si me preguntan a mi, diría que es una plataforma web donde los colombianos podemos realizar giros nacionales sin necesidad de ir a un punto físico de efecty.

En el siguiente video se puede observar cómo con un número de cédula se pueden obtener datos privados de una persona, por ejemplo: el numero de celular, el teléfono fijo y la dirección de residencia. Cuando hacemos un giro en efectyvirtual el sistema nos pide la cédula de la persona a la que queremos enviar el giro; si alguna vez ha echo un giro o enviado algo por servientrega lo mas seguro es que su numero de cédula este registrado allí, una vez digitada la cédula automáticamente se llenan los otros campos pero con unos círculos negros impidiendo ver su contenido.

 

Las empresas invierten millones en firewalls, cifrado y dispositivos para acceder de forma segura, y es dinero malgastado, porque ninguna de estas medidas corrige el nexo más débil de la cadena

Kevin Mitnick