Un pequeño info-leak en Bizum para averiguar el nombre de ese contacto "raro" de tu agenda
Supongo que muchas veces te han presentado a alguien en algún lugar y habéis intercambiado teléfonos. Y probablemente lo hayas metido en la agenda por el mote, el apodo o incluso algo mnemotécnico para ti. Cosas como "El rana", "Nano", "El pelucas", "Jey fiesta uni", o cualquier otra cosa en tu agenda. Y un día lo revisas y piensas .... ¿quién es este?
Figura 1: Un pequeño info-leak en Bizum para averiguar el nombre de ese contacto "raro" de tu agenda |
Hoy en día existen muchos trucos para saber quién es. Desde buscar su foto de WhatsApp a eliminarlo de la agenda y ver qué nombre te sugiere iOS, WhatsApp o Telegram, que este también funciona.
Figura 2: El "Maybe" de iOS busca alias |
En el caso del "Maybe" puedes obtener quién es, pero de nuevo es su "alias" o el nombre qué él utilice en sus comunicaciones o con el que tú te hayas comunicado alguna vez, pero... ¿Cómo se llama realmente?
El info-leak de Bizum
Como os conté en un artículo el año pasado, soy usuario de Bizum, Twypp, Apple Pay y Send-Money-To-SMS, además de tomar alguna medida extra para proteger mis tarjetas de crédito. Del primero, Bizum, cada implementación en las apps de los bancos funciona distinto, pero en esencia es que puedes enviar dinero de cuenta bancaria a cuenta bancaria sin saber la cuenta bancaria del destinatario. Solo necesitas saber su número de teléfono.
Figura 4: Con el icono azul los usuarios con Bizum asociado a ese número de teléfono |
Para ello la persona tiene que estar dada de alta en la agenda, y el API de Bizum te dice si tiene o no habilitado ese servicio en su banco. Esto quiere decir que si tienes a alguien dado de alta en la agenda de contactos con un sobre nombre, como "Krasti", "A", "Loco de atar" o cualquier otra cosa, podrás enviarle dinero a ese nombre.
Figura 5: Agustín cSa tiene dos apellidos S. y F. |
Pues bien, si haces el proceso en la app de mi banco - probadlo vosotros en el vuestro - en el último paso, antes de completar el envío, puedes ver el nombre de verdad de la persona, así como las iniciales de los dos apellidos.
Figura 6: "A" en mi agenda es realmente Manuel Francisco A.G... ¡Sorpresa! |
Es un info-leak pequeño, pero perfecto para saber un poco más de información sobre la persona que misteriosamente ha llegado a tu agenda con ese nombre tan peculiar. En estos ejemplos podéis ver el nombre de las personas y en la parte de arriba cómo los tengo yo dados de alta en mi agenda.
Figura 7: Y José Antonio C. M. se escondía detrás de algo que no os voy a contar... |
Por supuesto, vamos a ver cómo podemos añadir esto a nuestro querido Dirty Business Card, que puede que nos de alguna sorpresa en algún momento. Ya veremos qué pasa.
Saludos Malignos!
1 comentario:
¿Existiría algún método para poder cancelar todas las operaciones de Bizum en una zona concreta?
Publicar un comentario