martes, junio 11, 2019

Un pequeño info-leak en Bizum para averiguar el nombre de ese contacto "raro" de tu agenda

Supongo que muchas veces te han presentado a alguien en algún lugar y habéis intercambiado teléfonos. Y probablemente lo hayas metido en la agenda por el mote, el apodo o incluso algo mnemotécnico para ti. Cosas como "El rana", "Nano", "El pelucas", "Jey fiesta uni", o cualquier otra cosa en tu agenda. Y un día lo revisas y piensas .... ¿quién es este? 

Figura 1: Un pequeño info-leak en Bizum para averiguar
el nombre de ese contacto "raro" de tu agenda

Hoy en día existen muchos trucos para saber quién es. Desde buscar su foto de WhatsApp a eliminarlo de la agenda y ver qué nombre te sugiere iOS, WhatsApp o Telegram, que este también funciona.

Figura 2: El "Maybe" de iOS busca alias

En el caso del "Maybe" puedes obtener quién es, pero de nuevo es su "alias" o el nombre qué él utilice en sus comunicaciones o con el que tú te hayas comunicado alguna vez, pero... ¿Cómo se llama realmente?

El info-leak de Bizum

Como os conté en un artículo el año pasado, soy usuario de Bizum, Twypp, Apple Pay y Send-Money-To-SMS, además de tomar alguna medida extra para proteger mis tarjetas de crédito. Del primero, Bizum, cada implementación en las apps de los bancos funciona distinto, pero en esencia es que puedes enviar dinero de cuenta bancaria a cuenta bancaria sin saber la cuenta bancaria del destinatario. Solo necesitas saber su número de teléfono. 

Figura 4: Con el icono azul los usuarios con Bizum asociado a ese número de teléfono

Para ello la persona tiene que estar dada de alta en la agenda, y el API de Bizum te dice si tiene o no habilitado ese servicio en su banco. Esto quiere decir que si tienes a alguien dado de alta en la agenda de contactos con un sobre nombre, como "Krasti", "A", "Loco de atar" o cualquier otra cosa, podrás enviarle dinero a ese nombre.

Figura 5: Agustín cSa tiene dos apellidos S. y F.

Pues bien, si haces el proceso en la app de mi banco - probadlo vosotros en el vuestro - en el último paso, antes de completar el envío, puedes ver el nombre de verdad de la persona, así como las iniciales de los dos apellidos.

Figura 6: "A" en mi agenda es realmente Manuel Francisco A.G... ¡Sorpresa!

Es un info-leak pequeño, pero perfecto para saber un poco más de información sobre la persona que misteriosamente ha llegado a tu agenda con ese nombre tan peculiar. En estos ejemplos podéis ver el nombre de las personas y en la parte de arriba cómo los tengo yo dados de alta en mi agenda.

Figura 7: Y José Antonio C. M. se escondía detrás de algo que no os voy a contar...

Por supuesto, vamos a ver cómo podemos añadir esto a nuestro querido Dirty Business Card, que puede que nos de alguna sorpresa en algún momento. Ya veremos qué pasa.

Saludos Malignos! 

1 comentario:

Unknown dijo...

¿Existiría algún método para poder cancelar todas las operaciones de Bizum en una zona concreta?

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares