Club de la hucha

Robo datos tarjeta credito

LR
LR #1 Jun '15 Penitente

Buenas, se que a priori este no parece el mejor lugar para abrir este post. Aun asi, espero que si podeis aporteis vuestro granito de arena.

Esta parte podeis saltarosla si quereis

spoiler

Despues de esta "historia generica" en lo que a estafas con tarjetas se refiere, quiero haceros un par de preguntas que son las que realmente me han hecho abrir el hilo y sobre todo, abrirlo aqui.

Quitando las tipicas compras con tarjeta de carrefour y mercadona, la tarjeta solo la uso en steam, amazon y paypal. Carrefour y mercadona los descarto y no recuerdo haber escuchado nada sobre brechas en steam, amazon o paypal ultimamente.

Entonces con esto en mente, solo se me ocurren 2 opciones. Cuando hubo el fallo en nuuvem del csgo con el que te llevabas el pack completo de juegos de valve pague desde mi tarjeta. Esto lo hice cuando no se sabia nada aun de lo que hacia hola, por lo que.. pueden haber sacado mis datos de hola o de nuuvem?

Es mas que nada para descartar y "seguir mirando opciones" o por si alguien sabe algo o ha oido algo que esteis atento por si las moscas.

RandomZ
RandomZ #2 Jun '15 Gif Scrublord

Vaya susto debe ser que te haya pasado eso. Lo de Hola puede, Rundull creó un post diciendo los problemas de dicha extensión, pero no sé si tu problema podría haberlo causado Hola.

Aún así, esto no va aquí.

1 respuesta
ToXiC487
ToXiC487 #3 Jun '15

Según lei Hola tan solo hacía uso de las conexiones de sus usuarios, no veo mucha relación entre eso y el posible robo.

Kanario93
Kanario93 #4 Jun '15

Siempre hay que tener cuidado en que sitios pagas con la tarjeta

LR
LR #5 Jun '15 Penitente

#2 "lo de menos" es lo de la tarjeta porque no ha sido mas que un susto. La cosa es saber si ha podido ser por nuuvem o por hola porque es algo que hemos usado bastante en este subforo, por eso lo he metido aqui

3 respuestas
SQMBRA
SQMBRA #6 Jun '15

#5 No tiene porque ser necesariamente de alguna pagina o extensión. Puedes tener "simplemente" un keylogger en tu ordenador descargado de cualquier otra parte.

RandomZ
RandomZ #7 Jun '15 Gif Scrublord

#5 No creo que haya sido problema de Nuuvem, no ha habido ningún caso de ese tipo, aunque no sé sabe.

Lo del Hola, como dicen más arriba, no está relacionado con tarjetas de crédito.

¿Podría haber sido un error?

R
Rundull #8 Jun '15

#5 El xploit no fue en nuuvem. Fue en Instant Gaming.

Pero vamos, con la cantidad de ventas que tuvieron ese día, raro sería que fueses tu el único si esa web fuese el motivo.

2 respuestas
LR
LR #9 Jun '15 Penitente

En el pc quitando el dia del csgo en instant gaming #8 solo compro desde steam y este solo pide el cvv de la tarjeta.

El resto de compras por internet las hago desde el movil y no le meto nada por lo que dudo que sea tema de keylogger.

Se que lo de hola solo era tema de trafico pero no sabia si podria haber venido por ahi. De todas formas si no habeis oido nada de ninguna web ni de hola me quedo "mas tranquilo" en ese sentido. Puede haber sido tan facil como algun cajero de por aqui o vete a saber..

2 respuestas
R
Rundull #10 Jun '15

#9 De todas formas, si me entero de algo, lo avisaré por aquí.

izo163
izo163 #11 Jun '15

#1 Al comprar en la web que dices, desconectaste el hola justo antes de pagar? o lo dejaste puesto?

1 respuesta
LR
LR #12 Jun '15 Penitente

#11 La unica vez que he comprado usando hola fue dejandola activada

2 respuestas
izo163
izo163 #13 Jun '15

#12 Pues es posible que fuera por eso

1 respuesta
javilin79
javilin79 #14 Jun '15

#12 Recuerda que Hola no deja de ser un proxy y nunca sabes quién está al otro lado "escuchando". Tengo conocidos que les ha pasado lo que a tí. A mi hace poco me ha entrado la neura y me he sacado una tarjeta prepago para estas cosas, así te evitas sustos como el que te has llevado.

1 respuesta
B
[Borrado] #15 Jun '15

#9 Desde el movil pero en tu casa o en wifis de fuera?

1 respuesta
LR
LR #16 Jun '15 Penitente

#15 En casa siempre o por 3g

#13 #14 por eso he preguntado lo del hola, porque se que ellos solo usaban el trafico, pero claro...no deja de ser proxy

De todas formas la cuenta que uso para esto la suelo tener casi seca y es con tarjeta de debito para evitar sustos mayores

antofi
antofi #17 Jun '15

Tarjeta monedero uso yo siempre para pagar por internet
Siempre la tengo a 0 euros si quiero comprar algo meto el dinero justo xd vamos que no me roban

1
pelimetal
pelimetal #18 Jun '15

A un colega le robaron la cuenta de Origin porque la utilizó con proxy cuando salió el Battlefield 4. A saber quién está viendo los datos cuando navegas por proxy. Y HOLA no deja de ser un simple proxy.

Trolli
Trolli #19 Jun '15

Alguien usa la tarjeta de crédito de Paypal?

Que viendo lo visto... Me interesa tener una tarjeta monedero, el problema es que soy de la caixa y ahí te cobran por todo xD (en este caso 1€ mínimo por cada recarga)

1 respuesta
manval
manval #20 Jun '15

#19 La mejor tarjeta monedero, Openbank, te abres una cuenta en el banco y te dan una tarjeta 4B gratis y la cuenta no tiene ningun tipo de comisiones. Yo es la cuenta que uso para paypal y para compras por internet, cuando pienso comprar algo hago una transferencia a la cuenta y punto, el resto del tiempo vacia o con un par de euros.

PaCoX
PaCoX #21 Jun '15 Ant queen

es lo que pasa por entrar en webs con el flash desactualizado o el win desactualizado etc
teneis mas ladillas en el pc... y en el movil ni hablamos xD

1 respuesta
NotToBit
NotToBit #22 Jun '15

#21 Hombre, flashplayer ha tenido agujeros de seguridad más de una vez, pero es más peligroso navegar con el javascript activado (y lo hace casi todo el mundo).

1 respuesta
profmoriarty
profmoriarty #23 Jun '15

#22 tengo entendido por experiencia propia que Firefox lo desactiva siempre.

1 respuesta
NotToBit
NotToBit #24 Jun '15

#23 Me temo que no. Más que nada porque ahora mismo se utiliza javascript en prácticamente todos sitios. Si quieres comprobarlo, añade a Firefox el complemento NoScript. En ésta página mísmamente, sin javascript no puedes hacer click en el número de la cita y ver incrustado el mensaje al que hace referencia.

1 respuesta
profmoriarty
profmoriarty #25 Jun '15

#24 Cierto, el que me aparece bloqueado es JavaScriptToolkit.

PaCoX
PaCoX #26 Jun '15 Ant queen

como va a ser más peligroso, al flash le sacan más agujeros de seguridad... muchos más
http://www.cvedetails.com/vulnerability-list/vendor_id-53/product_id-6761/Adobe-Flash-Player.html
y muchos son de score 10...
El otro dia ley no se que en mediavida de hacer un vk.com, xD q ilusos, vk ha metido más mierda por su flash player que los de megadownloader en su instalador.

NotToBit
NotToBit #27 Jun '15

Porque los agujeros de seguridad de flash están en el flash player, mientras que los agujeros de seguridad de javascript están en las páginas web que visitas. Una sóla entrada de datos de usuario que se olviden de procesar aecuadamente y un sitio web es completamente vulnerable, puedes hacer montones de cosas.

Y lo peor no es que la web se vuelva vulnerable, es que los visitantes se vuelven vulnerables. No necesitas un agujero de seguridad en tu navegador para que te roben los datos de la tarjeta con un ataque XSS, sólo necesitas que se olviden de procesar un parámetro, que no se acuerden de cambiar (no sé si ésto se va a ver) < por &lt;, que metan a alguien nuevo a cambiar un detalle de la web y pase un mensaje de error por la url, etc. A partir de ahí, poner frente al formulario de logging legítimo de tu banco uno ficticio que envíe a un piratilla tu contraseña es un paso. Y estamos hablando de ataques muy difíciles de detectar porque javascript se ejecuta en tu ordenador y el servidor no se entera.

Puede ser una taque dirigido a una sóla persona. Puedes meter el código en un link de la página desde donde quieres que se ejecute y mandárselo a algún tonto para que lo pulse. Ésto ha pasado en steam, dejando un rastro de inventarios vacíos por detrás, simplemente porque desde javascript podían acceder a la api de steam (y creo que se sigue podiendo). Habreis notado que ahora para hacer intercambios hay que andar confirmando por correo. Si alguien quiere explotar un agujero de seguridad con javascript, ni siguiera necesita que el agujero esté relacionado con javascrit, éste se convierte en la manera de explotarlo.

Y todo ésto por un agujerito de nada en un formulario. Déjate que a una página web se le olvide procesar cualquier cosa que vaya a base de datos con un PreparedStatement y además de todas las otras puertas que se abren, el código javascript (o el enlace que lo contiene, o un import a donde está alojado el código) se puede volver persistente. Se han dado casos de foros que cargaban javascript malicioso sin querer en el cuerpo de los posts porque habían conseguido incrustárselo en la base de datos...

1
PaCoX
PaCoX #28 Jun '15 Ant queen

lolwhat? confundes cosas.
Una cosa es una vulnerabilidad del navegador por ejecución de script (ej la ultima de los samsumg galaxy), en este caso seria vulnerabilidad del navegador x por ejecución de javascript (afecta al cliente, versión navegador).

Otra una vulnerabilidad de una aplicación web (no control de imputs,etc que derivan en sqli u otras cosas) o de una api (no control de permisos y eso), esto no es vulnerabilidad javascript, se usa js para explotarlo pero no quiere decir que sea una vulnerabilidad del interprete del navegador (afecta al servidor).
Para algunos de estos ataques, los navegadores y aplicaciones web han ido implementando métodos de seguridad para evitar la mayoría de casos, los navegadores el same origin policy, las aplicaciones los token anti CRSF,etc.

En flash, el interprete de comandos es el flash que tienes descargado, igual java, etc.

Por ejemplo, mediavida tiene un token antiCRSF, si no lo tuviera y te mandan un link con un script para que postees, la vulnerabilidad seria de la pagina y no del javascript.

resumen:
Navegar con js es peligroso? si.
Tanto como con flash/java/navegador desactualizado? no.

NotToBit
NotToBit #29 Jun '15

Igual me he explicado mal. No estoy discutiendo dónde están y dónde no están las vulnerabilidades. He intentado poner ejemplos de dónde pueden estar y de formas en las que funciona javascript para sentar un argumento.

Comprendo que cada uno evalúa a su manera la gravedad de los riesgos, simplemente estoy explicando porqué yo veo más peligroso uno que otro: en javascript, por muchos motivos, los riesgos no están "centralizados".

En java vienen de la JVM, en flash del flashplayer, en los navegadores de cada uno que uses, aunque son muchas batallas distintas, cada una tiene un sólo frente: que si el desarrollador se da cuenta de que comete un error, él lo arregle y tú lo actualices

JS, para mí, está más abierto a fallos porque ya desde su propio concepto no es seguro. Es un tema de "programa con fallos" vs "ejecuta cualquier cosa". En javascript dependes de montones de factores, muchos de ellos no están ni en tus manos, ni en las de una sóla persona. Mediavida pasa un token antiCRSF, pero yo no tengo control sobre ello. Yo como usuario no tengo control sobre todos los desarrolladores de páginas web (salvo sobre mi mismo).

Claro que hay mecanismos de seguridad, algunos se pueden saltar, otros no. Pero ya ni siquiera es eso, el problema es que no controlas si se implementan, o se implementan bien, o nada de nada. ¿O no tienes cuidado cuando te bajas un ejecutable de internet? Claro que puedes comprobar el checksum, ejecutarlo en un sandbox, etc etc pero en última instancia dependes de que el programa esté desarrollado con buenas intenciones y de que se haya hecho de forma adecuada. En javascript estás dejando entrar todo lo que derive de tus hábitos de navegación... dependes de las vulnerabilidades del navegador, de las de los frameworks que utilicen los desarrolladores web, de su versión del servidor, de su criterio, de mil cosas. Y muchos de ellos escapan a tu control y se multiplican por cada web que visites.

Supongo que todo ésto es una cuestión de opinión personal, pero a grandes rasgos lo que te quiero decir es que puedes actualizar flashplayer, pero no puedes actualizar internet.
De todas formas comprendo porqué para tí es más peligroso tener flash desactualizado y con la reputación que tiene el flashplayer dudo que haya más gente de acuerdo conmigo que contigo.

daniman5
daniman5 #30 Jun '15

Muchos bancos como La Caixa, ofrecen servicios de "wallet" para evitar estos problemas.

Yo de siempre utilizo un "monedero" de La Caixa donde sólo transfiero el importe justo o muy aproximado, con tal de que en caso de padecer un altercado de estos, perder lo menos posible. Además esta wallet está asociada a Paypal con la cual suelo pagar. Quizás un poco trambólico, pero así me quedo más tranquilo y hasta el momento ni un problema y sin gastos adicionales.

Usuarios habituales

Tags