Banco Agrícola y su constante mediocridad en sus plataformas web

[Jaru]

Abro este tema como comentarios generales sobre las muchas veces que el Banco Agrícola ha tenido desaciertos con sus sistemas y plataformas electrónicas.

Muchos recordarán el nefasto "teclado virtual" y como gracias a eso nos dimos cuenta que el BANCO AGRÍCOLA tenía nuestas contraseñas (yo en ese tiempo tenía cuenta ahí) en plain text.

Les hago un pequeño resumen de esa vez con el teclado virtual.

A este banco se les ocurrió que para "más seguridad" y evitar Keyloggers, los usuarios tenían que usar un teclado virtual, que te aparecía en la pantalla y usando el mouse le dieras click a cada tecla para introducir tu password, bueno pero había un detalle: sólo habían teclas en mayúsculas, ahora bien todos nos preguntamos ¿qué hago si mi password lleva minúsculas?
bueno, no importaba si lo metías todo en mayúsculas, siempre te validaba bien tu password (aunque tú supieras que lleva minúsculas?

¿Que conclusión sacas de esto?

Pues para alguien que no sea informático tal vez nada, pero los que programamos y sabemos de bases de datos entendemos que todo password debe estar guardado encriptado en la base de datos y sí y sólo sí si metes el password correcto TAL CUAL ES, lo podrías encryptar con el mismo método y hacer match con el password encryptado en la base de datos.
Ahora bien, entonces si tu metes tu password en mayúscula y aún así te valida, eso significa que el password nunca lo tuvieron encriptado para comenzar, y que lo guardaban en texto plano, algo que un administrador de la base o alguien que se robara la tabla de datos pudiera fácilmente ver los passwords de toda la gente y tener libre acceso a ellos.
Esta fue la primera falla grave en los sistemas de seguridad que inadvertidamente BANCO AGRÍCOLA dio a entender a la gente.

Luego de esa pequeña clase de historia vamos a lo más actual.

La aplicación de e-banca del BANCO AGRÍCOLA tiene sin funcionar varios días y hasta la fecha de creado este post, sigue sin funcionar, dejando sin opciones web a los usuarios de ese nefasto banco.

Compartan sus experiencias y ¿por qué razón siguen usando ese banco si SIEMPRE han tenido una plataforma web TAN HORRIBLE?

[Charlie]

Lo que no entiendo es porque le hacen esas disque mejoras periódicas que hasta anuncian que pasará sin funcionar más de medio dia el fin de semana y luego vez la aplicación y no tiene ninguna mejora ni función visible, de hecho hay un bug que hace que da error cuando intento cambiar el límite de una ecard que tengo con ellos y literalmente llevan años sin solucionarlo.

De hecho hacen eso cada 2 o 3 meses e incluso te obligan luego a actualizar la aplicación para poder seguirla usando solo para descubrir que no tiene nada de diferente con respecto a la versión anterior.

Uso aplicaciones de otros 3 bancos y ninguna hace esos parones tan constantes y de hecho mejoran notablemente la aplicación de un dia para otro sin siquiera anunciar que tengan que hacer algun paron.

[Camus de Acuario]

El problema es que tienen una alta rotacion de sus desarrolladores, que son mayoritariamente outsourcing. Muchas veces los nuevos que van llegando no tienen mucho conocimiento del know how propio y pues pasan esas cosas.

Un chero justo trabaja de outsourcing de alli, pero sus desarrollos no son sobre con la banca online, pero aun a ellos los ha afectado, porque todas sus puestas en produccion se han estancado esperando que se estabilice esto. Como es outsourcing de otra compañia que no tiene nada que ver con los outsourcing que estan en la parte de la banca oline, no sabe mucho, pero dice que lo que se rumorea es que trataban de migrar a micro servicios en la nube pero algo con el proveedor trono, lo que se extraña es que no hayan hecho rollback a la version anterior con los servidores propios, a menos que ya los hayan dado de baja (una estupidez).

Con lo de la contraseña, no es por defender, pero puede que no habia tanta vulnerabilidad. Si desde el principio al crear el usuario e ingresar la contraseña por primera vez se convertia todo a mayusculas y alli se encriptaba y se guardaba encriptada, no habia problema. Manda a la verga todas las politicas de contraseas SOX y es mala practica, pero no era tanta la vulnerabilidad. Lado contrario si al principio si aceptaba minusculas y la validacion termino siendo lo que manda la pantalla a un UPPER(contraseña) del lado de la base de datos, si era cagadal enorme.

Solo recuerdo en un trabajo que llegamos a una empresa que las tarjetas de credito se guardaban en la base de datos sin encriptar, llegamos a implementar otra cosa de pagos, pero al ver esa cagada conseguimos nuevo proyecto para mejorar esa parte

[jos legend]

Estamos en 14 de noviembre y sigue sin funcionar

[rax369]

....lo que se extraña es que no hayan hecho rollback a la version anterior con los servidores propios, a menos que ya los hayan dado de baja (una estupidez).

Eso es exactamente lo que tampoco entendí durante todos los días que el servicio estuvo tronado.

Y de ahi tantas "teorías" como la del hackeo a sus servicios que se dieron. Si fue un problema de migración por una actualización que trataron de hacer, porque al ver que no funcionó y sobre todo al ver el nivel de afectación que generaron, no hicieron rollback? (no quiero ni pensar cuantas perdidas sufrieron sobre todo los pequeños comercios y emprendedores que dependieron de ellos para sus ventas)

Son cosas que definitivamente no se entienden. Hoy si rompieron su propio record de tener los servicios abajo, al grado que se van a ganar una multa de la Super Intendencia. A ver de cuanto se la dejan ir, y también a ver cuentas y cuales cabezas rodaran, luego de haber hecho semejante estupidez.