Cofidis ve sus datos comprometidos

Cofidis es una empresa formada por varios grupos de crédito que agrupan diferentes servicios dentro del panorama de finanzas mundiales.

La definición según podemos leer en su web: "Somos líderes europeos del crédito por teléfono: tenemos más de 8 millones de clientes. En España, Ya contamos con más de 15 años de experiencia y un equipo de más de 800 colaboradores."

Cofidis.es pudo verse afectada por un fallo a través del cual terceras personas popdrían tener acceso a datos de carácter personal, al haber dejado al descubierto las credenciales de acceso root al portal y, asimismo, al dejar al descubierto las credenciales de acceso a la base de datos del portal.

Para hacernos una idea de qué tipo de datos pueden haber sido vistos o "robados" por terceros, tan solo debemos mirar uno de los formularios de solicitud de crédito, y por los datos que se nos piden se puede saber qué tipo de datos podría contener la base de datos.

Esta noticia llego a mí, después observar un post en Twitter en el cual se daba una URL del portal Cofidis.es y el acceso a un txt sin ningún tipo de protección, y el cual contenía las credenciales antes mencionadas.

Después de observar esta situación, y hablado con algunos de los miembros del grupo de discusión e investigación, decidimos mirar desde cuándo podía haberse dado esta circunstancia y el posible origen de la noticia. Haciendo una búsqueda rápida en los motores de búsqueda habituales, llegamos a un Post en Twitter del día 12-10-2009.

Y uno posterior del día 13-10-2009. Y otro mas el dia 13-10-2009

El día 14-10-2009 por la tarde el txt que contenía estas credenciales fue retirado del raíz del portal Cofidis.es. Con lo cual se puede pensar que esos datos tan sensibles pudieron estar al alcance de todo el mundo durante al
menos tres días.

Google muestra en su cache, una imagen de dicho documento con fecha del día 13-10-2009 mostrando las credenciales:

http://209.85.229.132/search?q=cache:nrpZAY7spqYJ:www.cofidis.es/cofidis.txt+http://www.cofidis.es/cofidis.txt&cd=8&hl=es&ct=clnk&gl=es

Pero esta sería la fecha en la cual Google tomo esa instantánea de ese documento, pudiendo haber reemplazado a una anterior eso. Los logs del servidor de Cofidis deberían mostrar cuándo fue la primera vez que el spider de Google pudo rastrear ese txt.

De igual forma si realizamos una búsqueda en Google por el fichero txt, entre los resultados primeros puede apreciarse que Google también revela esas credenciales; faltaría saber cuándo fue incluida en la indexación ese archivo, para intentar averiguar desde qué fecha se pudo haberse producido esta situación.

http://www.google.es/search?q=cofidis.txt

Cómo pudo un administrador dejar deliberadamente un archivo con información tan sensible a la vista de cualquier visitante, se preguntará más de uno.

Seguramente el admin no sabía nada de la existencia de ese fichero (o eso creemos o queremos creer). Debió ser un hackeo, por el tipo de fichero generado y su disposición y los datos que contiene podría haberse tratado de algún agujero de seguridad en la web, a través del cual el atacante hubiese podido incluir algún archivo externo
( sta vulnerabilidad es conocida como RFI, o remote file include). Hay algunos scripts de los que corren por la Red, que justamente hacen eso y mirando su fuente se puede observar que justamente sacan
esos datos de la máquina o inyectan una Shell en php.

Creo que Cofidis debería dar explicaciones de este hecho y asimismo debería verse cómo le afecta este acontecimiento ante la LOPD. Y qué datos han sido comprometidos

Desde el grupo de investigación y desarrollo de Lostmon's Groups queremos hacer un llamamiento a que las empresas como Cofidis y otras que trabajan con datos personales tan sensibles y de tanta confidencialidad, inviertan parte de sus beneficios en asegurar que esos datos no estarán accesibles a cualquiera.

Bien es cierto que en seguridad, no hay nada seguro, o que lo bonito de la seguridad es la inseguridad que trae por si misma. Y bien es cierto que por mucho que los administradores pongan énfasis y empeño en asegurar servicios y sistemas, siempre hay gente, que va por delante de ellos.

Este analisis ha sido realizado por Climbo y por Lostmon

Lostmon (lostmon@gmail.com)
Web-Blog: http://lostmon.blogspot.com/
Google group: http://groups.google.com/group/lostmon (new)