viernes, 3 de agosto de 2012

Banco de Chile y sus nuevas cartolas electrónicas "más seguras"

Hace un mes, el Banco de Chile se vio metido en toda una polémica gracias al envío de cartolas electrónicas a destinatarios erróneos para 52 mil clientes. En esa oportunidad, el banco responsabilizó a la empresa externa que contrataron para el envío masivo de cartolas por email.
Ahora, un mes después veo que el correo en que se adjunta mi cartola posee un mensaje indicando que tomaron medidas para mejorar la seguridad de las cartolas. Agregaron una clave de numérica de 4 dígitos, lo que para mi no es seguridad ya que sólo provee 10000 claves posibles.

Para ver lo rápido que se obtiene esa clave, debemos instalar pdfcrack:
yum install pdfcrack -y
Luego ejecutamos pdfcrack indicándole que la clave está formada sólo por números (-c 0123456789):
[crack@nada tmp ]$ pdfcrack -c 0123456789 archivo_cartola.pdf
PDF version 1.4
Security Handler: Standard
V: 1
R: 2
P: -60
Length: 40
Encrypted Metadata: True
FileID: 1e36949862222cb4f3739fe
U: f82891db9f00031a9fbc38e8c8439030baedd83
O: 6cac1c3ee45a67b218692cfcc4034c0a06d8ca5263c4676a1daf
found user-password: 'xxxx'

Así que "para mayor seguridad" está de más en el correo.

Update: 04/08/2012
La cartola de línea de crédito llegó ahora con una nueva clave, que corresponde al rut sin dígito verificador. Es decir una clave de 7 a 8 números, la cual es obtenida con el mismo método anterior en 30 segundos.

4 comentarios:

Christian Avendaño dijo...

Ahora ingresaron el rut completo de la persona, por lo que si vuelven a enviar erróneamente las cartolas no solo darán a conocer datos bancarios sino que también el rut del titular... notable....

Eduardo Villagrán Morales dijo...

Notable, pasamos de 1 segundo a 30. xD

Sebastián dijo...

hacker hacker! detected xD

Unknown dijo...

A mi me tocó implementar ese bot en su momento (julio del 2012), el cual le colocaba contraseña a los PDF de las cartolas, pero en Banchile Inversiones. Luego, con mucha "astucia", lo tomaron y lo instalaron en el banco. El requerimiento era súper tajante: El rut sin dígito verificador. Por mi parte sugerí que le colocaran además el DV.