Boursorama Banque filtra tus datos de conexión

A través de una grave brecha de seguridad, la filial de Société Générale permite a AT Internet y a Smart AdServer acceder a tu cuenta bancaria

Publicado por Pixel de Tracking el 26 de julio de 2020

Actualización 11 de agosto de 2020: Boursorama ya no filtra tus datos de conexión a AT Internet y Smart AdServer.

Corrección de CNAME de Boursorama

Los datos enviados a AT Internet ahora pasan por el dominio c0012.brsimg.com, y los enviados a Smart AdServer pasan por varios dominios, entre ellos ww16.smartadserver.com. Así, AT Internet y Smart AdServer ya no tienen acceso a las cookies de autenticación de Boursorama (dominio boursorama.com).

La corrección tuvo lugar antes del 4 de agosto, ver esta respuesta de Boursorama. Nótese también la transparencia de Boursorama en esta respuesta tardía. Además, Boursorama ahora respeta su elección si se niega a ser rastreado en la web (excepto AT Internet, que tiene un exención de la CNIL). No todo es perfecto: Boursorama sigue teniendo una actitud hostil hacia los usuarios de adblock y no te permite rechazar el seguimiento en su aplicación para iOS, pero ya es un gran avance. Los correos de clientes, los artículos y los tuits (el problema del CNAME en Boursorama ya se conocía en noviembre de 2019) habrán contribuido sin duda a que Boursorama se moviera.

Boursorama te rastrea en el área de clientes de su sitio web

Boursorama tiene una actividad de banca en línea muy popular y eficiente, Boursorama Banque, que superó los 2 millones de clientes a finales de 2019. Como cliente, quise comprobar si el sitio web de Boursorama Banque filtraba mis datos personales; puedes hacer lo mismo siguiendo estos pasos:

Sorpresa, Boursorama Banque sí te rastrea en el área de clientes:

Boursorama - área de clientes

Estas son las empresas que recogen tus datos personales:

  • AT Internet: a través de c0011.boursorama.com (volveremos más adelante sobre este subdominio que a primera vista parece anodino), histórica empresa francesa de analítica, antiguamente denominada Xiti, que recupera toda tu navegación así como las características de tu dispositivo. La herramienta de analítica permite a Boursorama analizar los recorridos de los usuarios y mejorar la experiencia de su sitio web.
  • Smart AdServer: empresa francesa que ofrece un servidor de anuncios para editores y una solución de monetización de inventario publicitario (SSP). ¿Qué sentido tiene llamar a una solución publicitaria en un área de clientes sin publicidad?
  • Rubicon: solución de monetización de inventario publicitario (SSP), que recientemente se fusionó con Telaria para formar Magnite. Tampoco aquí se entiende muy bien por qué Boursorama llama a una solución publicitaria.
  • Commanders Act: a través de trustcommander.net, anteriormente TagCommander, empresa francesa que ofrece varios productos, entre ellos, históricamente, un "Tag Manager" (que permite activar etiquetas de marketing sin tener que recurrir a desarrolladores, un verdadero "caballo de Troya" para los equipos de marketing), una "Customer Data Platform" (centraliza tus datos personales) y una "Consent Management Platform" (solución de recogida del consentimiento).

AT Internet y Smart AdServer pueden conectarse a tu cuenta de Boursorama Banque

La integración de los rastreadores de AT Internet no es directamente visible en las solicitudes enviadas desde tu equipo. Se observan solicitudes hacia c0011.boursorama.com, pero hay que indagar más para darse cuenta de que este subdominio no lo gestiona Boursorama: se lo ha delegado a AT Internet. ¿Cómo? Mediante el registro de un CNAME (un alias) que apunta a un dominio gestionado por AT Internet. Puedes consultar el registro CNAME en este sitio, por ejemplo:

delegación boursorama at internet cname

Y verificar después el propietario del dominio at-o.net en este sitio:

AT

AT Internet se disimula, pues, dentro de Boursorama: un subdominio de Boursorama que no llama la atención (c0011.boursorama.com), pero que apunta a un dominio oscuro (at-o.net). AT Internet se esconde a continuación tras dominios de AWS en el registro WHOIS (solo el registro CNAME permite remontar hasta la fuente):

Whois AT

Esta presencia oculta de AT Internet (antes Xiti) en Boursorama Banque ya la había advertido el excelente Aeris en noviembre de 2019 (así que Boursorama seguía sin reaccionar):

¿Por qué AT Internet ofrece esta opción y por qué la adopta Boursorama? Si leemos la documentación de AT Internet sobre el "dominio personalizado" (CNAME), el objetivo es simple: sortear las protecciones de los navegadores y de los adblockers:

Para garantizar una recopilación de datos en las mejores condiciones, ofrecemos el envío de hits a nuestros servidores con un CNAME desde uno de tus subdominios. Al utilizar un dominio personalizado, conservas tus hits y, al conservar tus SLA, incluso puedes beneficiarte de la mejor configuración de cookies (ITP).

Por "conservas tus hits" hay que entender que los adblockers no estarán necesariamente actualizados y probablemente no bloquearán las solicitudes (mala suerte para Boursorama: uBlock Origin sí bloquea c0011.boursorama.com).

Por "incluso puedes beneficiarte de la mejor configuración de cookies (ITP)" hay que entender que, como las cookies de AT Internet están asociadas al dominio del sitio (first party), no las bloquean los mecanismos de los navegadores destinados a proteger tu privacidad, como la Intelligent Tracking Prevention (ITP) de Safari. AT Internet retoma esta característica en su artículo:

Los navegadores como Safari ahora requieren que las cookies sean propias (depositadas desde el dominio actual), server-side (depositadas por un servidor, no por JavaScript) y seguras (https). Para cumplir con estas expectativas, proporcionamos una configuración que evita posibles restricciones o bloqueos que afecten sus análisis.

AT Internet no menciona los riesgos de seguridad asociados al uso de CNAME. Y, sin embargo, como ya pudimos ver en el caso de Criteo y como ya había explicado Aeris, son considerables. Si el sitio asociado no ha tomado precauciones, AT Internet puede leer todas las cookies depositadas, y no solo las creadas por AT Internet. Veamos, pues, las cookies que tu navegador envía a AT Internet a través del dominio c0011.boursorama.com:

cookies Boursorama

De este modo, AT Internet tiene acceso a todas las cookies depositadas en el nombre de dominio boursorama.com, incluidas las que te permiten permanecer conectado... Comprobemos, pues, si alguien que recupere el valor de estas cookies puede usurpar tu cuenta de Boursorama Banque:

  • Desactiva tu adblocker.
  • Inicia Charles Proxy y luego conéctate a tu cuenta de cliente de Boursorama Banque a través de Chrome.
  • Recupera las cookies enviadas a c0011.boursorama.com a través de Charles Proxy.
  • Borra todos los datos de navegación de Chrome.
  • Ve a https://clients.boursorama.com/: efectivamente, estás desconectado de Boursorama Banque.
  • Utiliza la extensión de Chrome EditThisCookie para crear o actualizar tus distintas cookies de Boursorama.
  • Actualiza la página, ¡estás conectado!

edición cookies Boursorama Aquí debes configurar las diferentes cookies

Tu sesión caduca al cabo de cierto tiempo, así que AT Internet debe darse prisa para aprovecharla. Aun así, esto significa que un empleado malintencionado de AT Internet puede conectarse a la cuenta de Boursorama Banque de cualquiera. Amenaza teórica, por supuesto: ese empleado debería tener las competencias técnicas y el nivel de autorización adecuado para analizar los registros del servidor. No por ello deja de ser cierto que los datos bancarios de más de 2 millones de franceses están en riesgo.

El mismo fallo de seguridad afecta a Smart AdServer a través del dominio ads.boursorama.com, ya un poco más "legible" para los adblockers:

Smart AdServer CNAME

Por lo tanto, Smart AdServer también recupera las cookies de boursorama.com, lo que permite a un empleado malintencionado de Smart AdServer conectarse a la cuenta de Boursorama Banque de cualquiera:

Cookies Smart AdServer

Veamos la política de cookies de Boursorama; en ella se puede leer esta joya:

política de cookies de Boursorama

Como acabamos de ver, Boursorama ha implementado una técnica que permite a terceros (AT Internet y Smart AdServer) leer las cookies del emisor de Boursorama.

Rechaza el seguimiento: a Boursorama le da igual

¿Qué pasa si te tomas la molestia de decirle a Boursorama que no quieres que te rastreen?

banner consentimiento Boursorama

Boursorama considera que continuar navegando equivale a dar tu consentimiento, como la CNIL todavía permite en su excesiva debilidad. Aun así, hagamos clic en "Configura tus cookies":

propósitos Boursorama

Sí, todas las finalidades están marcadas por defecto, otra violación del RGPD. Desmarquemos, pues, las distintas finalidades (publicidad y estadísticas). Si leemos con atención la relacionada con las estadísticas, por ejemplo:

Recopilar información relacionada con su uso del contenido y combinar dicha información con la recopilada previamente para evaluar, comprender e informar sobre cómo utiliza el servicio. Esto no incluye la Personalización, la recopilación de información relacionada con su uso de este servicio para enviarle posteriormente contenido personalizado y/o anuncios en otros contextos, es decir, en otros servicios, como sitios o aplicaciones.

Ten en cuenta que este banner de consentimiento proviene de la CMP (Consent Management Platform) de Commanders Act, la mal llamada TrustCommander. Si los sitios te hacen la vida tan difícil con estos insoportables banners, que te obligan a hacer una decena de clics para negarte a ser rastreado (y no una simple elección Sí/No), es también porque los editores de software lo permiten.

Entonces esperaríamos no ver más el seguimiento de AT Internet, ¿verdad? Error, Boursorama no tiene en cuenta tus preferencias, como demuestra Charles cuando vuelves a conectarte a tu área de cliente:

Cookies de exclusión voluntaria de Boursorama

Boursorama sigue filtrando tus datos personales a Rubicon, AT Internet y Smart AdServer. Y, de propina, sigues permitiendo que AT Internet y Smart AdServer accedan a tu cuenta bancaria de Boursorama mediante la filtración de todas las cookies asociadas al dominio boursorama.com.

Boursorama es hostil hacia los usuarios de adblockers

Entonces podrías decirte: por suerte uso un adblocker, que me protege contra el seguimiento generalizado y también contra fallos de seguridad como este (y, en el caso de uBlock Origin, es cierto: sí bloquea c0011.boursorama.com y ads.boursorama.com). Sin embargo, Boursorama no quiere que te protejas. Si activas tu adblocker, te recibirá este mensaje:

Boursorama Banque

Boursorama te indica que el uso de un adblocker puede perturbar gravemente la navegación dentro del área de clientes: es falso. Pero Boursorama va aún más lejos:

¡Boursorama le recomienda que desactive su adblocker para navegar y consultar sus cuentas sin riesgo!

¡Saborea la ironía: precisamente el adblocker es lo que te protege contra el fallo de seguridad introducido por Boursorama! Ten en cuenta que Boursorama no se detiene ahí: también escribió un artículo que explica cómo desactivar Adblock en la ayuda en línea del área de clientes, ¡en el apartado "Proteger mi área de clientes"!

Por eso te aconsejo que utilices un adblocker como uBlock Origin combinado con Firefox en la web (u otros navegadores respetuosos con la privacidad, como Brave y Safari).

¿Utilizas la aplicación para iPhone? Boursorama Banque también filtra tus datos personales

Para comprender el seguimiento implementado por Boursorama Banque en su aplicación para iPhone, seguí el siguiente procedimiento:

Boursorama Banque iOS

La aplicación es tan comunicativa como el sitio web y filtra tus datos personales a las siguientes empresas:

"Por suerte", aquí no hay fuga de datos de Boursorama hacia Smart AdServer, pese al uso del dominio ads.boursorama.com (solo las cookies de Smart AdServer). La información de tu sesión en la aplicación para iPhone no se almacena en cookies.

¿Cómo protegerse contra el rastreo generalizado y las violaciones de seguridad en las aplicaciones? Puedes utilizar aplicaciones como DNSCloak, AdGuard o NextDNS en iOS.

Boursorama infringe su política de protección de datos de clientes

Si leemos la Política de protección de datos de los clientes de Boursorama Banque, el compromiso con la seguridad y la protección de tus datos personales es firme; el documento comienza así:

Boursorama desea construir una relación sólida y duradera con sus clientes, basada en la confianza y el interés mutuo. Como entidad de crédito sujeta al secreto bancario, Boursorama garantiza la seguridad y la confidencialidad de la información que se le confía. Además, Boursorama está decidido a proteger tus datos personales y tu privacidad.

Evidentemente se ha roto la confianza, Boursorama no garantiza la seguridad y la confidencialidad de la información que se le confía. Boursorama luego continúa con este párrafo:

Compromiso Boursorama

Boursorama permite a terceros (AT Internet y Smart AdServer) acceder a mi cuenta de cliente, que contiene, por ejemplo, mis transacciones bancarias. En la parte 3. ¿Quiénes son los destinatarios de los datos personales?, Boursorama informa que podrá comunicar tus datos a autoridades públicas, organismos financieros y a sus proveedores de servicios técnicos.

Ninguna información sobre AT Internet o Smart AdServer; ¿entran en la casilla de "proveedores de servicios técnicos"? En tal caso, así es como Boursorama informa sobre los "proveedores de servicios técnicos":

Proveedores de Boursorama

Obviamente, mis datos de conexión no forman parte de la información estrictamente necesaria para la medición de audiencia o la distribución de anuncios. Finalmente, así es como Boursorama se comunica sobre la seguridad de tus datos:

seguridad de Boursorama

Mis datos de conexión son interceptados por terceros no autorizados: AT Internet y Smart AdServer.

¿Qué cambios podemos esperar?

Aunque no esperaba semejante fallo de seguridad en un banco en línea como Boursorama Banque, el problema está, por desgracia, muy extendido:

Adobe CNAME ¿Creías que la técnica CNAME estaba "limitada" a empresas de marketing poco conocidas? Error, Adobe lo ofrece también.

"Ventajas" que destacan estas herramientas: sortear los adblockers y las protecciones de los navegadores para rastrearte siempre mejor, aunque no lo desees. Evidentemente, estas herramientas deberían dejar de ofrecer la opción del CNAME: tienen una gran responsabilidad como proveedores de tecnología. La sensación de impunidad no ayuda: sin sanciones de la CNIL, ¿para qué cambiar?

Pero los sitios web también tienen una gran responsabilidad: en su afán de vigilarte cada vez mejor y de monetizar mejor tu información, olvidan la seguridad de tus datos personales. También aquí se nota la ausencia de un verdadero regulador. Así, Boursorama debería:

  • Eliminar los CNAME y utilizar las versiones "estándar" de los rastreadores AT Internet y Smart AdServer.
  • Eliminar de su área de clientes y de su aplicación los rastreadores publicitarios Smart AdServer y Rubicon.
  • Ofrecer un verdadero mecanismo de recogida del consentimiento (opt-in) y respetarlo.
  • Poner fin a la actitud hostil hacia los usuarios de adblockers.

Boursorama Brad Pitt

Te toca mover ficha, Boursorama: reacciona y protege mejor los datos bancarios de tus clientes; así es como te ganarás el derecho a ser recomendado.