Fintech Big Fiserv utilizó un dominio no reclamado – Krebs on Stability


Si vende computer software basado en la Net para ganarse la vida y envía un código que hace referencia a un nombre de dominio no registrado, está buscando problemas. Pero cuando una empresa de Fortune 500 comete el mismo error, los resultados pueden variar de costosos a desastrosos. Aquí está la historia de uno de esos errores cometidos por Fiserv (NASDAQ: FISV), una empresa de $ 15 mil millones que ofrece application de banca en línea y otras soluciones tecnológicas a miles de instituciones financieras.

En noviembre de 2020, KrebsOnSecurity escuchó a un investigador de seguridad Abraham Vegh, quien notó algo extraño mientras inspeccionaba un correo electrónico de su institución financiera.

Vegh pudo ver que el mensaje de su banco hacía referencia a un dominio curioso: defaultinstitution.com. Una búsqueda rápida de los registros de registro de WHOIS mostró que el dominio no estaba registrado. Preguntándose si podría recibir comunicaciones por correo electrónico a esa dirección si registraba el dominio, Vegh lo compró por unos pocos dólares, configuró una cuenta de correo electrónico standard para él y esperó.

«Parece que el dominio se proporciona de forma predeterminada, y los departamentos de TI del banco del cliente están asumiendo que no necesitan cambiarlo o no saben que podrían / ​​deberían», dijo Vegh, señalando que una persona malintencionada que tropezó en su descubrimiento anterior podría haber tenido un dominio poderoso y confiable desde el cual lanzar ataques de phishing por correo electrónico.

Al principio, solo llegaron algunos correos electrónicos descarriados. Irónicamente, uno era de un gerente de «garantía de calidad» en Fiserv. El mensaje de respuesta automática indicaba que el empleado estaba fuera de la oficina «en R&R» y que volvería a trabajar el 14 de diciembre.

Llegaron muchos otros correos electrónicos, incluidos numerosos mensajes «rebotados» entregados en respuesta a misivas de Cashedge.com, un servicio de transferencia de dinero que Fiserv adquirido en 2011.

Los correos electrónicos se rebotan, o se devuelven al remitente, cuando se envían a una dirección que no existe o que ya no está activa. Los mensajes se habían enviado a una dirección de correo electrónico de un ex director de soluciones para clientes de Fiserv la dirección de «respuesta a:» en esas misivas period «donotreply@defaultinstitution.com».

Los mensajes informaban a los clientes sobre el servicio principal de CashEdge Popmoney – que permite a los usuarios enviar, solicitar y recibir dinero directamente desde cuentas bancarias – que Popmoney estaba siendo reemplazado por Zelle, un servicio de transferencia de banco a banco más moderno.

Cada misiva de CashEdge incluía información sobre transferencias recurrentes que se estaban cancelando, como el ID del approach, la fecha de envío, el monto a transferir, el nombre y los últimos cuatro dígitos del número de cuenta de donde provenía el dinero y la dirección de correo electrónico del destinatario. cuenta.

Increíblemente, en la parte inferior de cada mensaje para los clientes de CashEdge / Popmoney había un texto repetitivo: “Este correo electrónico fue enviado a (nombre del destinatario aquí). Si recibió este correo electrónico por error, envíe un correo electrónico a customersupport@defaultinstitution.com «.

Otros servicios que dirigían a los clientes a responder al dominio del investigador incluían al cliente de Fiserv Netspend.com, un proveedor líder de tarjetas de débito prepagas que no requieren un saldo mínimo o verificación de crédito. Todos los mensajes de Netspend eran para confirmar la dirección de correo electrónico vinculada a una nueva cuenta y se referían a las «transferencias de mí a mí» configuradas a través de su servicio.

Cada mensaje incluía un código de un solo uso que se solicitaba a los destinatarios que ingresaran en el sitio web de la empresa. Pero al leer las muchas respuestas a estas misivas, parece que Netspend no dejó demasiado claro dónde se suponía que los usuarios debían ingresar este código. Este es uno de los ejemplos más profanos de respuesta de un cliente:

Muchas otras personas a las que Netspend les envió un correo electrónico expresaron su desconcierto en cuanto a por qué estaban recibiendo tales mensajes, afirmando que nunca se habían suscrito al servicio. De la esencia de esos mensajes, los encuestados fueron víctimas de fraude de identidad.

«Mis cuentas fueron pirateadas y si se pierde algún financiamiento, su (sic) me demandó a mí ya la comisión federal de comercio», escribió uno. «Yo no creé la cuenta. Detenga esta cuenta y cuénteme qué está pasando «, respondió otro. “Nunca me inscribí en este servicio. Alguien más está usando mi información ”, escribió un tercero.

Esos mensajes también se referían a las transferencias de yo a mí. Otros correos electrónicos provinieron de Detroit. Banco Nacional TCF.

Con sede en Nueva York Union Financial institution también envió información del cliente al dominio del investigador. Ambos mensajes estaban destinados a confirmar que el destinatario había vinculado sus cuentas a las de otro banco. Y en ambos casos, los destinatarios respondieron que no habían autorizado el enlace.

En respuesta a las preguntas de KrebsOnSecurity, Fiserv reconoció que había incluido inadvertidamente referencias a defaultinstitution.com como marcador de posición en las soluciones de application utilizadas por algunos socios.

«Hemos identificado 5 clientes para los cuales los correos electrónicos generados automáticamente para sus clientes incluían el nombre de dominio»defaultinstitution.com«En la dirección de» respuesta a «», dijo Fiserv en una declaración escrita. “Esta URL de marcador de posición se dejó sin cambios inadvertidamente durante la implementación de estas soluciones. Al conocer la situación, inmediatamente realizamos un análisis para ubicar y reemplazar instancias del nombre de dominio de marcador de posición. También hemos notificado a los clientes cuyos clientes recibieron estos correos electrónicos «.

De hecho, el último correo electrónico que recibió Vegh fue el 26 de febrero.

Esta no es la primera vez que un descuido de Fiserv ha puesto en peligro la seguridad y privacidad de sus clientes. En 2018, KrebsOnSecurity reveló cómo una debilidad de programación en una plataforma de program vendida a cientos de bancos expuso los datos personales y financieros de innumerables clientes. Posteriormente, Fiserv fue demandado por un cliente de la cooperativa de ahorro y crédito esa demanda aún está en curso.

Vegh dijo que encontró un error de dominio similar mientras trabajaba como contratista en el Banco de la Reserva Federal de Filadelfia en 2015. En ese caso, descubrió un dominio no registrado invocado por AirWatch, un producto de gestión de dispositivos móviles adquirido por VMWare.

“Después de registrar ese dominio, comencé a recibir tráfico de todo el mundo desde dispositivos de la compañía Fortune 500 que hacían ping al dominio”, dijo Vegh.

Vegh dijo que planea darle a Fiserv el handle sobre defaultinstitution.com y entregar los mensajes interceptados por su bandeja de entrada. No está pidiendo mucho a cambio.

«Me habían prometido una camiseta y una caja de cerveza por mis esfuerzos en ese momento, pero, por desgracia, nunca recibí una», dijo sobre su interacción con AirWatch. «¡Esta vez, espero recibir una camiseta!»

Actualización, 12:44 p.m. ET: El párrafo principal se ha actualizado para reflejar los ingresos de Fiserv en 2020, que fueron casi $ 15 mil millones.


Etiquetas: Abraham Vegh, CashEdge, Credit One Lender, defaultinstitution.com, fiserv, Netspend, Popmoney, TCF Countrywide Bank, Union Financial institution, Zelle

Esta entrada fue publicada el miércoles 17 de marzo de 2021 a las 10:26 am y está archivada bajo A Tiny Sunshine.
Puede seguir cualquier comentario a esta entrada a través de la fuente RSS 2..

Puede saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia first