La filial belga del Banco Santander filtra información sensible online

La filial belga del Banco Santander, el quinto mayor banco del mundo y el 16 en envergadura del mundo, ha estado filtrando online datos sensibles por una mala configuración de una de sus páginas web. Según los analistas de seguridad de CyberNews, el Santander Consumer Bank tenía un fallo en la configuración del dominio de su blog que permitía que sus archivos fuesen indexados.

Los investigadores analizaron qué información podían conseguir por este fallo, y descubrieron que podrían hacerse con archivos entre los que había uno con una base de datos SQL y un fichero JSON que los hackers podrían utilizar para lanzar ataques de phishing. El archivo JSON contenía las claves de la API del CDN Amazon Cloudfront del Santander, lo que permitió a los investigadores conseguir dichos archivos. Al conseguir estas claves, los hackers podrían llegar a sustituir el contenido real del Santander por el suyo propio en la web, incluso sus imágenes, vídeos y documentos.

¿Qué significa esto en la práctica? Pues que si, por ejemplo, en la web hubiese un archivo estático de HTML almacenado, el hacker que explotase el fallo podría cambiar la página entera del blog por otra que hubiese desarrollado el, creando por ejemplo, una página de phishing para robar la información financiera de sus usuarios, y hacerlo todo bajo el dominio belga del Santander.

El Banco Santander recibió información sobre este fallo de configuración el pasado 15 de abril y ya lo han solucionado. Según un portavoz de la entidad, «el incidente se refiere específicamente, y solo, al blog del banco Santander Consumer Bank de Bélgica. El blog contiene únicamente información pública y artículos, por lo que no se han visto comprometidos ni los datos de los clientes ni información crítica. Nuestro equipo de seguridad ya ha solucionado el asunto para asegurarse de que el blog es seguro«.

Tal como recuerda el investigador de CyberNews Bernard Meyer, «a los clientes del Santander, así como a otros clientes de bancos, les recomendaríamos que comprueben siempre el dominio y el subdominio que les envíen en un correo electrónico sospechoso que parezca proceder de un banco. Hay que asegurarse de que el dominio es realmente el del banco, pero también saber que no hay peticiones de información financiera almacenadas nunca en el subdominio del blog de un banco«.

Foto: Mike Mozart