Urielmania

“El Mundo de Uriel… Pero la voz de todos”

SE FILTRA CÓDIGO FUENTE DE LA APP DE CITIBANAMEX

Según reporta Bank_Security , hay evidencia de que se publicaron el código fuente de estas apps en un repositorio git publico, las cuales permiten encontrar vulnerabilidades a los hackers.

Los datos supuestamente fueron tomados de una instancia de SonarQube mal configurada, esta es una herramienta para revisar la calidad y la seguridad del código, por lo tanto, la información es código fuente no compilado.

Si bien básicamente es un dump de sonar y por ende se piensa que hacen falta muchos archivos y llaves privadas, lo cierto es que, el problema real es que se desconoce la magnitud  de la exhibición de los datos del  usuario.

¿Cual es el riesgo?

El mas claro es que esto permite conocer la forma en cómo funcionan dichas apps bancarias permitiendo a futuro crear clones más realistas o para ataques directos hacia ellas, como por ejemplo una app tienen implementado «SSL Pinning», lo que complica la intercepción del tráfico, pero no lo hace imposible de interceptar.

¿Que pasara ahora?

Hasta el momento de publicar esta nota solo Banco Sabadell ha emitido respuesta al respecto, indicando que no pone en peligro los datos de los usuarios. Esperemos que en los próximos días u horas se actualicen las apps con mejoras en seguridad  y los otros bancos emitan su postura al respecto, por el momento es recomendable estar pendiente de los movimientos asociados, ya que no se sabe si el acceso a las mismas de alguna forma se haya modificado. 

Lo vi en https://www.pasionmovil.com

Actualización : Se pusieron en contacto con nosotros de LabComm, agencia de Comunicación de Nova Solutions Systems. Y nos aclararon que;

Citibanamex no es cliente de Nova Solutions Systems,  y también nos compartieron el posicionamiento de Nova respecto a la información que corresponde a sus clientes Sabadell y BanCoppel. Que por cierto la pueden encontrar en twitter.

LabComm

Acerca del Autor