No tengo idea de como contactar a Consalud, al llamar al callcenter la grabadora no da una opcion de “presione x numero si tiene un problema tecnico”.

El problema aparece al menos en una de sus páginas, la que pude verificar fue la página denominada “Mis Cotizaciones”, el funcionamiento “normal” de una página de este tipo  es que en cada consulta o  clic que uno hace en ella, la pagina verifica que uno haya iniciado una sesión a traves del proceso denominado “Login”, si no se ha iniciado sesión se debe mostrar un error, para evitar que cualquiera acceda a nuestros datos.

Justamente es este proceso el que falla, pues la página “Mis cotizaciones” esta cargada en algo denominado “Frame”(técnicamente es una pagina web dentro de otra), a este frame se le está pasando un parametro, este parametro es el RUT del afiliado, hasta ahí todo normal, el problema, es que la página “Mis cotizaciones” que está dentro del frame, no verifica sesión por lo tanto, cualquier personaje con tan solo el rut puede ver datos del Afiliado a esta isapre.

Lo alarmante, es que en la misma página con su seguridad comprometida permite “Pagar” la deuda online.

Aquí es donde me pregunto ¿Que tan seguro es pagar con este metodo, si ni siquiera mis datos personales están protegidos?
en este escenario es facil elucubrar teorias en relación a lo que puede pasar, fácilmente los datos de nuestra tarjeta de credito pueden ser interceptados si no hay seguridad aplicada en el sitio; y sepa usted que el pinpass es útil solo para Chile, con tan solo tener el numero de nuestra tarjeta, la fecha de caducidad  y el codigo de validación cualquiera puede realizar compras a nuestro nombre en el extranjero, sin necesidad de mostrar la tarjeta.

Fallo de seguridad en Consalud

• 
  dsm noisemaker

  ene 20

  Estas exagerando el caso. El proceso de webpay es completamente independiente de la página que lo invoca y tiene estandares de seguridad muy altos. Que puedas hacer un simple cambio en el dato rut no implica que puedan hacer algo con tu tarjeta o cuenta bancaria..A lo más puedes pagar la cuenta de otra persona o ver sus cotizaciones.

  Me meti hoy y ya no esta disponible el servicio, seguramente lo están corrigiendo..

  Responder
  • 
    admin

    ene 20

    gracias por el comentario, y claramente estoy “elucubrando” y lo dejo explicitado antes de hablar del proceso de pago.
    Lo que si olvide dejar claro es que el proceso webpay es aparte, de todas formas deja algo de “desconfianza” ver como trabaja el equipo de developers de Consalud, o hicieron un “deploy” a mala hora o definitivamente no tienen un servidor de desarrollo, pues como dices entraste y ya no esta ese servicio(dudo que me leyeran), asi que o estan haciendo cambiios “en caliente” o adelantaron algún deploy.

    Ahora con el simple cambio de rut como dices, solo veremos información, pero con inyeccion SQL se pueden obtener muchos datos, ya me ha tocado antes ver Tiendas Online de prestigiosas marcas con problemas de inyeccion sql, donde era posible por ejemplo, crear clientes fantasmas, hacer compras a nombre propio, a nombre de otros, modificar metodos de pago, etc(en aquella ocasion alguien de la empresa me leyó y solucionaron el problema de inmediato)
    En otros casos en entidades estatales me ha tocado ver tambien la mala implementacion de sesiones, donde podia incluso acceder hasta la intranet de la empresa, leer la minuta del casino(algo anecdotico), acceder a respaldos, etc(ahí tambien me contacte con la empresa y solucionaron el problema)
    Estas cosas suceden cuando se invierte poco en tecnologia y se piensa que con unos cuantos tecnicos haciendo mucha pega, esta todo ok, cuando en realidad se necesitan especialistas para distintos procesos, no gente que este viendo 1000 cosas a la vez.
    Saludos!!!!

    Responder
• 
  dsm noisemaker

  ene 20

  este tipo de error lo he visto en un monton de aplicaciones, es super comun. pero denuevo elucubras diciendo que a partir de eso alguien podría leer la minuta del casino de consalud, cosa que dudo.
  yo creo que bajaron la pagina porque vieron esto y la acción obvia es bajarlo de inmediato de producción..de que les sirve bajarlo del servidor de desarrollo ( si es que tienen)? no tiene nada que ver una cosa con la otra..

  Yo me asustaria si viera que el fallo permitiese robar tarjetas, bases de datos , dinero, o comprar en nombre de otros, pero no es el caso.. por mucho que lo insinues para darle importancia..además ya no esta disponible.

  Responder
  • 
    admin

    ene 20

    ojo, que no hablo de consalud, sino de otras empresas, los casos que enumero anteriormente, son de 2 empresas, una empresa tecnologica de renombre(donde era posible acceder a datos de los metodos de pago del cliente, crear clientes, comprar a nombre de otros, cambiar passwords de los clientes y acceder como uno de ellos, etc)

    El otro caso del que hablo, era una empresa estatal, que tenia una seudo intranet con salida a internet, con problemas de inyeccion sql donde era posible alterar los comunicados de prensa, subir imagenes, entrar a “areas privadas”, que justamente tenian problemas de autenticacion/sesiones y ahi estaba el enlace a la seudo intranet con la minuta del casino XD

    Responder
• 
  admin

  ene 20

  acabo de entrar, y tal como dices ya bajaron el servicio, a lo de no tener “servidor” de desarrollo, me refiero a que se supone que la idea del servidor de desarrollo es realizar los sistemas y probarlos antes de lanzarlos a producción, realizando el respectivo Q.A. para evitar “bochornos” posteriores

  Responder