Acabo de encontrarme con esto en lo que era la web de !Hispahack:
Analizando la banca-online, UNO-E.
Uno-e, es uno de los principales bancos Españoles que operan en Internet, con más de 140.000 clientes forma parte del Grupo BBVA y Terra Networks. Como cliente de dicha entidad les voy a hacer participes de un pequeño análisis que realice hace unos días y que expongo seguidamente en este articulo/denuncia. Este es un análisis objetivo de una problemática generalizada, y es justamente ahora cuando deberían estar más tranquilos los clientes como yo de dicha entidad.
Análisis:
1.- Una vez accedo al banco bbva.es/personas.html con mi "Usuario" y "Contraseña", me doy cuenta de que tengo asignado un identificador (USER_ID) que es el mismo en cada sesión. Cada uno de los clientes de UNO-E tienen asignado uno y advierto que puedo variar mi identificativo (USER_ID) por otro aleatorio (secuencial), y interactuar como el usuario del mismo como si del mío propio se tratase. En este caso como vemos en la imagen, vario mi id por uno aleatorio 125377.
2.- Y como vemos ahora en esta imagen, la pantalla principal "Mi Cartera", me muestra la información correspondiente al cliente asociado a dicho id, sus cuentas, su saldo, etc.
3.- Interactuando como si de mi usuario se tratara puedo ver los contratos, titulares de los mismos, cuentas, movimientos de las cuentas, tarjetas de crédito asociadas, movimientos de las tarjetas...etc, lo que puede suponer tener acceso a datos de carácter personal de nivel alto. Esto hace, que este grave fallo de diseño de la aplicación tenga notadas consecuencias al atentar seriamente contra la privacidad de los clientes de la entidad.
... el articulo sigue en mentes.org o (link roto), hay rumores de que S21Sec lleva la seguridad del BBV y/o Uno-e.
P4k0