Mensajes de error en un banco

Resulta curiosa la cantidad de información que se puede sacar de un simple error:

Error en la aplicación web de un banco

Se trata de un gran banco español, realmente me pensaba que estas cosas ya las tenían bien escondidas “por si a caso”, pero parece que no:

# curl -I bancoimportante.es
HTTP/1.1 200 OK
Date: Wed, 30 Dec 2009 12:17:56 GMT
Server: IBM_HTTP_Server
(...)

La parte que más me ha preocupado ha sido la fecha que aparece en el error:

Build date/time: Jun 18 2006 08:18:30

¿2006? Esto son prácticamente 4 años y realmente hay dos cosas que no me puedo creer:

1. Un banco con la cantidad de certificaciones y controles que deba pasar salten estos errores con tanta información potencialmente valiosa para un atacante
2. Un software no tenga ninguna vulnerabilidad en 4 años

Relacionados

• w00tw00t.at.ISC.SANS.DFind:)
• VirtualHost por defecto de Apache
• VirtualHost overlap on port 80
• Variables de entorno para configurar un Apache
• Uso de memcached como cache de contendio de Apache para soportar el efecto Barrapunto