Boursorama Banque filtra tus datos de conexión

A través de una grave brecha de seguridad, la filial de Société Générate permite a AT Internet y Smart AdServer acceder a tu cuenta bancaria

Publicado por Pixel de Tracking el 26 de julio de 2020

Actualización 11 de agosto de 2020: Boursorama ya no filtra tus datos de conexión a AT Internet y Smart AdServer.

Corrección de CNAME de Boursorama

Los datos enviados a AT Internet ahora pasan por el dominio c0012.brsimg.com, los datos enviados a Smart AdServer pasan por varios dominios, incluido ww16.smartadserver.com. Por lo tanto, AT Internet y Smart AdServer ya no tienen acceso a las cookies de autenticación de Boursorama (dominio Boursorama.com).

La corrección tuvo lugar antes del 4 de agosto, ver esta respuesta de Boursorama. Nótese también la transparencia de Boursorama en esta respuesta tardía. Además, Boursorama ahora respeta su elección si se niega a ser rastreado en la web (excepto AT Internet, que tiene un exención de la CNIL). No todo es perfecto: Boursorama todavía tiene una actitud hostil hacia los usuarios de adblock y no permite rechazar el seguimiento en su aplicación para iOS, pero esto ya es un gran paso adelante. Correos electrónicos, artículos y tweets de clientes (el problema CNAME en Boursorama ya era conocido) en noviembre de 2019) sin duda habrá contribuido a conmover a Boursorama.

Boursorama te rastrea en el área de clientes de su sitio web

Boursorama tiene un negocio de banca en línea muy popular y eficiente, Boursorama Banque. Este tiene superó los 2 millones de clientes finales de 2019. Como cliente, quería comprobar si el sitio web de Boursorama Banque estaba filtrando mis datos personales, puedes hacer lo mismo siguiendo estos pasos:

Sorpresa, Boursorama Banque le sigue en el área de clientes:

Boursorama - área de clientes

Estas son las empresas que recogen tus datos personales:

  • AT Internet : a través de c0011.Boursorama.com (volveremos más adelante sobre este subdominio que a primera vista parece trivial), histórica empresa francesa de análisis, antiguamente denominada Xití, recuperando toda tu navegación así como las características de tu dispositivo. La herramienta de análisis permite a Boursorama analizar los viajes de los usuarios y mejorar la experiencia de su sitio web.
  • Smart AdServer : Empresa francesa que ofrece un servidor de anuncios para editores y una solución de monetización de inventario publicitario (SSP). ¿Qué sentido tiene llamar a una solución publicitaria en un área de clientes sin publicidad?
  • Rubicon : solución de monetización de inventario publicitario (SSP), recientemente se fusionó con Telaria para formar Magnite. Tampoco en este caso entendemos muy bien por qué Boursorama pide una solución publicitaria.
  • Commanders Act : a través de trustcommander.net, anteriormente TagCommander, una empresa francesa que ofrece varios productos, incluido históricamente un "Tag Manager" (que permite activar etiquetas de marketing sin tener que recurrir a los desarrolladores, un verdadero "caballo de Troya" para los equipos de marketing), una "Plataforma de datos del cliente" (centraliza tus datos personales) y una "Plataforma de gestión del consentimiento" (solución para recoger el consentimiento).

AT Internet y Smart AdServer pueden conectarse a tu cuenta de Boursorama Banque

La integración de los rastreadores de AT Internet no es visible directamente en las solicitudes enviadas desde tu ordenador. Observamos las solicitudes de c0011.Boursorama.com pero hay que profundizar más para darse cuenta de que este subdominio no está administrado por Boursorama, ha sido delegado por Boursorama en AT Internet. ¿Cómo? Registrando un CNAME (un alias) que apunta a un dominio administrado por AT Internet. Puedes consultar el registro CNAME en este sitio, por ejemplo:

delegación Boursorama en internet cname

Y luego verificar el propietario del dominio. en-o.net seguro este sitio :

EN.

Por lo tanto, AT Internet está oculto en Boursorama: un subdominio de Boursorama que no llama la atención (c0011.Boursorama.com), pero que apunta a un dominio oscuro (en-o.net). AT Internet luego se esconde detrás de los dominios de AWS en el registro WHOIS (solo el registro CNAME te permite volver a la fuente):

Whois en

Esta presencia oculta de AT Internet (antes Xiti) en Boursorama Banque ya había sido notada por el excelente Aeris en noviembre de 2019 (Por lo tanto, Boursorama aún no ha reaccionado):

¿Por qué AT Internet ofrece esta opción y por qué Boursorama la adopta? si leemos la documentación de AT Internet En el “dominio personalizado” (CNAME), el objetivo es simple: evitar las protecciones del navegador y del adblocker:

Para garantizar la recopilación de datos en las mejores condiciones, ofrecemos el envío de visitas a nuestros servidores con un CNAME de uno de sus subdominios. Al utilizar un dominio personalizado, conserva sus accesos y, al mantener sus SLA, incluso puede beneficiarse de la mejor configuración de cookies (ITP).

Por "guardas tus hits", hay que entender que los adblockers no necesariamente estarán actualizados y probablemente no bloquearán las solicitudes (mala suerte para Boursorama, uBlock Origin bloquea bien c0011.Boursorama.com).

Por "Incluso podrás beneficiarte de la mejor configuración de cookies (ITP)", debe comprender que las cookies de AT Internet están asociadas al dominio del sitio (de primera parte), no son bloqueadas por mecanismos del navegador para proteger tu privacidad como Intelligent Tracking Prevention (ITP) de Safari. AT Internet vuelve a esta característica en su artículo:

Los navegadores como Safari ahora requieren que las cookies sean propias (depositadas desde el dominio actual), server-side (depositadas por un servidor, no por JavaScript) y seguras (https). Para cumplir con estas expectativas, proporcionamos una configuración que evita posibles restricciones o bloqueos que afecten sus análisis.

AT Internet no menciona los riesgos de seguridad asociados con el uso de CNAME. Y sin embargo, como ya hemos visto en El caso de Criteo Y como Aeris explicó antes, son grandes. Si el sitio asociado no ha tomado precauciones, AT Internet puede leer todas las cookies colocadas, y no sólo las cookies creadas por AT Internet. Veamos entonces las cookies enviadas por tu navegador a AT Internet a través del dominio c0011.Boursorama.com :

cookies Boursorama

De este modo, AT Internet tiene acceso a todas las cookies colocadas en el nombre de dominio. Boursorama.com, incluidas las cookies que te permiten permanecer conectado... Comprobemos si un usuario que recupera el valor de estas cookies puede usurpar tu cuenta de Boursorama Banque:

  • Desactiva Tu adblocker.
  • Inicie Charles Proxy y luego conéctese a tu cuenta de cliente de Boursorama Banque a través de Chrome.
  • Recuperar las cookies enviadas a c0011.Boursorama.com a través de Charles Proxy.
  • Claro todos los datos de navegación de Chrome.
  • Ir a https://clientes.Boursorama.com/, estás desconectado de Boursorama Banque.
  • Utilice la extensión de Chrome Editar esta cookie para crear o actualizar sus diferentes cookies de Boursorama.
  • Actualiza la página, ¡estás conectado!

edición cookies Boursorama Aquí debes configurar las diferentes cookies

Tu sesión caduca después de cierto tiempo, por lo que AT Internet debe ser rápido para aprovecharla. Sin embargo, esto significa que un empleado malintencionado de AT Internet puede conectarse a la cuenta de Boursorama Banque de cualquier persona. Por supuesto, como amenaza teórica, este empleado debe tener las habilidades técnicas y el nivel adecuado de autorización para analizar los registros del servidor. Todo lo que queda es datos bancarios de más de 2 millones de franceses están en riesgo.

El mismo fallo de seguridad se aplica a Smart AdServer a través del dominio ads.Boursorama.com, ya un poco más "legible" para los adblockers:

Smart AdServer CNAME

Por lo tanto, Smart AdServer también recopila cookies de Boursorama.com, permitiendo que un empleado malintencionado de Smart AdServer se conecte a la cuenta de Boursorama Banque de cualquier persona:

Cookies de servidor de anuncios inteligentes

Vamos a verlo Política de cookies de Boursorama, podemos leer esta pepita:

política de cookies de Boursorama

Como acabamos de ver, Boursorama ha implementado una técnica que permite a terceros (AT Internet y Smart AdServer) leer las cookies del emisor de Boursorama.

Seguimiento de rechazos, Boursorama no lo tiene en cuenta

¿Qué pasa si te tomas la molestia de decirle a Boursorama que no quieres que te rastreen?

banner consentimiento Boursorama

Boursorama considera que continuar con su navegación constituye su consentimiento, como la CNIL todavía permite en su excesiva debilidad. Sin embargo, hagamos clic en "Configurar tus cookies":

propósitos Boursorama

Sí, todos los propósitos se verifican de forma predeterminada, otra violación del RGPD. Así que desmarquemos los diferentes propósitos (publicidad y estadísticas). Si leemos atentamente el relacionado con la estadística por ejemplo:

Recopilar información relacionada con su uso del contenido y combinar dicha información con la recopilada previamente para evaluar, comprender e informar sobre cómo utiliza el servicio. Esto no incluye la Personalización, la recopilación de información relacionada con su uso de este servicio para enviarle posteriormente contenido personalizado y/o anuncios en otros contextos, es decir, en otros servicios, como sitios o aplicaciones.

Ten en cuenta que este banner de consentimiento proviene de CMP (Plataforma de gestión de consentimiento) de Commanders Act, el mal llamado TrustCommander. Si los sitios le hacen la vida tan difícil con estos insoportables anuncios, que le exigen hacer diez clics para negarse a ser rastreado (y no una simple elección Sí/No), es también porque los editores de software lo permiten.

Entonces esperaríamos no ver más el seguimiento de AT Internet, ¿verdad? Error, Boursorama no tiene en cuenta tus preferencias, como demuestra Charles cuando vuelves a conectarte a tu área de cliente:

Cookies de exclusión voluntaria de Boursorama

Boursorama siempre filtra tus datos personales a Rubicon, AT Internet y Smart AdServer. Bonificación: aún permite que AT Internet y Smart AdServer accedan a tu cuenta bancaria de Boursorama mediante la filtración de todas las cookies asociadas con el dominio Boursorama.com.

Boursorama es hostil hacia los usuarios de adblockers

Entonces podrías decirte: afortunadamente uso un bloqueador de publicidad, me protege contra el seguimiento generalizado y también contra vulnerabilidades de seguridad como ésta (y en el caso de uBlock Origin es cierto, bloquea bien). c0011.Boursorama.com Y ads.Boursorama.com). Sin embargo, Boursorama no quiere que usted se proteja. Si habilita su adblocker, será recibido con este mensaje:

Boursorama Banque

Boursorama te dice que el uso de un bloqueador de publicidad puede perturbar gravemente la buena navegación dentro del área de clientes: esto es falso. Pero Boursorama va aún más lejos:

¡Boursorama le recomienda que desactive su adblocker para navegar y consultar sus cuentas sin riesgo!

¡Aprecie la ironía, el adblocker te permite protegerse contra la vulnerabilidad de seguridad introducida por Boursorama! Ten en cuenta que Boursorama no se detiene ahí, también escribieron un artículo explicando cómo desactivar adblock en la ayuda online del área de clientes, apartado “Proteger mi área de clientes”!

Por lo tanto, le aconsejo que utilice un bloqueador de publicidad como uBlock Origin combinado con Firefox en la web (u otros navegadores que respetan la privacidad como Brave y Safari).

¿Utilizas la aplicación para iPhone? Boursorama Banque también filtra tus datos personales

Para comprender el seguimiento implementado por Boursorama Banque en su aplicación para iPhone, seguí el siguiente procedimiento:

Boursorama Banque iOS

La aplicación es tan comunicativa como el sitio web y filtra tus datos personales a las siguientes empresas:

"Afortunadamente" aquí no se han filtrado datos de Boursorama al Smart AdServer a pesar del uso del dominio. ads.Boursorama.com (sólo cookies de Smart AdServer). La información de tu sesión en la aplicación para iPhone no se almacena en cookies.

¿Cómo protegerse contra el rastreo generalizado y las violaciones de seguridad en las aplicaciones? Puedes utilizar aplicaciones como DNSCloak, AdGuard o NextDNS en iOS.

Boursorama infringe su política de protección de datos de clientes

Si leemos el Política de protección de datos de los clientes de Boursorama Banque, es firme el compromiso con la seguridad y protección de tus datos personales, el documento que comienza con:

Boursorama desea construir una relación sólida y duradera con sus clientes, basada en la confianza y el interés mutuo. Como entidad de crédito sujeta al secreto bancario, Boursorama garantiza la seguridad y la confidencialidad de la información que se le confía. Además, Boursorama está decidido a proteger tus datos personales y tu privacidad.

Evidentemente se ha roto la confianza, Boursorama no garantiza la seguridad y la confidencialidad de la información que se le confía. Boursorama luego continúa con este párrafo:

Compromiso Boursorama

Boursorama permite a terceros (AT Internet y Smart AdServer) acceder a mi cuenta de cliente, que contiene, por ejemplo, mis transacciones bancarias. En la parte 3. ¿Quiénes son los destinatarios de los datos personales?, Boursorama informa que podrá comunicar tus datos a autoridades públicas, organismos financieros y a sus proveedores de servicios técnicos.

No hay información sobre AT Internet o Smart AdServer, ¿caen en el cuadro de “proveedores de servicios técnicos”? En caso afirmativo, así es como Boursorama se comunica sobre los “proveedores de servicios técnicos”:

Proveedores de Boursorama

Obviamente, mis datos de conexión no forman parte de la información estrictamente necesaria para la medición de audiencia o la distribución de anuncios. Finalmente, así es como Boursorama se comunica sobre la seguridad de tus datos:

seguridad de Boursorama

Mis datos de conexión son interceptados por terceros no autorizados: AT Internet y Smart AdServer.

¿Qué cambios podemos esperar?

Aunque no esperaba una violación de seguridad de este tipo en un banco en línea como Boursorama Banque, lamentablemente el problema está muy extendido:

Adobe CNAME ¿Creías que la técnica CNAME estaba "limitada" a empresas de marketing poco conocidas? Error, Adobe lo ofrece también.

"Ventajas" que ofrecen estas herramientas: evite los bloqueadores de publicidad y las protecciones del navegador para rastrearte siempre mejor, incluso si no lo desea. Obviamente estas herramientas deberían dejar de ofrecer la opción CNAME, tienen una gran responsabilidad como proveedores de tecnología. El sentimiento de impunidad no ayuda: sin sanciones de la CNIL, ¿por qué cambiar?

Pero los sitios web también tienen una gran responsabilidad: en su afán de vigilarte cada vez mejor y monetizar mejor su información, olvidan la seguridad de tus datos personales. También aquí se siente la ausencia de un verdadero regulador. Por tanto, Boursorama debería:

  • Elimine los CNAME y utilice las versiones "estándar" de los rastreadores AT Internet y Smart AdServer.
  • Elimina los rastreadores de publicidad Smart AdServer y Rubicon de tu área de clientes y aplicación.
  • Proponer un mecanismo real para recoger el consentimiento (opt-in) y respetarlo.
  • Detén la actitud hostil hacia los usuarios de adblockers.

Boursorama Brad Pitt

Depende de usted jugar a Boursorama, ser receptivo y proteger mejor los datos bancarios de sus clientes; así es como obtendrá el derecho a ser recomendado.