Hackean código fuente y credenciales de acceso de Scotiabank. Usuarios deben contactar al banco para asegurar sus activos

Un severo incidente ha sido confirmado por especialistas en auditorías de sistemas. Scotiabank ha filtrado por error parte de su código fuente interno, así como credenciales de inicio de sesión confidenciales para sus sistemas back-end.

Los equipos de seguridad del banco han pasado las últimas doce horas eliminando repositorios en GitHub que almacenaban la información confidencial, los cuales se encontraban al alcance de cualquier usuario. Entre la información expuesta destacan planos de software, claves de acceso a sistemas cambiarios, códigos de la app móvil del banco y credenciales  de inicio de sesión a bases de datos.  

El especialista en auditorías de sistemas Jason Coulls fue el encargado de esparcir la voz sobre la información expuesta, afirmando que algunos de los repositorios llevaban meses filtrando información. El experto notificó a Scotiabank y a GitHub, además de alertar a las compañías procesadoras de tarjetas de pago y a la plataforma The Register: “Los repositorios contienen una base de datos SQL Server con tasas de cambio de divisas (FX), lo que expone este sistema a la modificación, comprometiendo la integridad del banco”, mencionó el experto. Lo más probable es que los repositorios ya hayan sido completamente asegurados o eliminados para este momento.

Los repositorios expuestos también almacenaban el código fuente para la integración de los sistemas de Scotiabank a servicios de pago como Samsung y Google Pay, así como algunas compañías de tarjetas de crédito, como Visa y Mastercard.

Al respecto, un portavoz de Scotiabank asegura que la compañía ya se encuentra investigando las posibles causas del incidente, aunque por el momento no le es posible compartir detalles adicionales.

En caso de que algún actor de amenazas pudiera haber accedido al contenido de estos repositorios, tanto los sistemas de Scotiabank como sus más de 25 millones de clientes podrían encontrarse expuestos a una gran variedad de ataques.

Esta no es la primera ocasión en la que los expertos en auditorías de sistemas descubren fallas de seguridad de Scotiabank; hace un par de años se descubrió que la unidad digital del banco utilizaba un código que nadie había analizado o auditado, además de que utilizaban certificados de seguridad vencidos. “Esta es una falla de seguridad básica, sin embargo no me sorprende, pues encuentro filtraciones de información de Scotiabank con demasiada frecuencia”, afirma Coulls.

Especialistas en auditorías de sistemas del Instituto Internacional de Seguridad Cibernética (IICS) respaldan la versión de Coulls, afirmando que los equipos de TI del banco filtran información y fragmentos de código todo el tiempo, ya sea desde apps móviles para los clientes o del lado del servidor, incluyendo datos de sus clientes.