SISTEMAS
Page tree
Skip to end of metadata
Go to start of metadata

Fecha Evento

 

Fecha Documento

 

Estado del Documento
  • BORRADOR
  • FINAL
Autor

Hugo A. Diaz Parra

InformadorClaudia Estigarribia
Version231007.2
Tickethttps://sistemas.cabal.coop.py/view.php?id=5772
ResumenVULNERABILIDAD EN CAMBIO DE DATOS DE CORREO Y TELEFONO


DESCRIPCION 

De detectaron casos de cambio de numero que se saltaron la habilitacion de ATC.


BITACORA 

El miercoles 02 Octubre nos notificaron casos de cambio de numero que se saltaron aparentemente la habilitacion de ATC. En una prueba realizada por el Gerente Comercial Juan Almada se confirmo que efectivamente existian cuentas que tenian activa la validacion de ATC para realizar el cambio de nro. telefonico en Dimo. Luego de realizar unas consultas a nivel de Base de Datos se confirmo efectivamente que existian 221 cuentas habiltadas para realizar modificaciones de nro. de telefono, otras 335 para modificar sus correo,  y 161 para modificar su contraseña.

Luego de presentar esta situacion a la Sub-Gerente de Operaciones Laura Martinez se procedio a inhabilitarlas de forma masiva.


Ya el dia Jueves 03 de Octubre nos notificaron casos de fraude donde se realizaron cambios de numeros. Esta nueva informacion nos llevo a buscar quienes realizaron cambio de nro. dentro de una ventana que iniciaba el 20 de Septiembre con unos 29 registros de cambio y con una ventana que iniciaba en 01 de Julio unos 146 registros, reportes que fueron entregados a Operaciones Dimo para su control.

Ese mismo dia la compañera Cecilia Vera informo que la cuenta asociada al evento de fraude ya confirmado, no tenia registrado ninguna incidencia para cambio de nro. y por consecuente la habilitacion correspondiente para realizar tal accion dentro de Dimo. Este hecho lo confirmamos revisando las tablas de las bases de datos de Dimo, con lo cual iniciamos la investigacion para encontrar el mecanismo utilizado por los hackers para poder realizar tal accion... no llegando a ninguna conclusion.

Esa misma tarde, ya finalizando el dia, se procedio a realizar la primera accion correctiva a nivel del frontend de Dimo... inhabilitar los botones de Transferencias, Pago de Servicios, Cuentas Cooperativas y Efectivo para aquellas cuentas que no hayan completado su proceso de registro (tengan pendiente las valicaciones de Foto y ATC). Si bien esta accion se llevo a produccion solo seria efectiva cuando el usuario realice un refresh en su navegador, o bien, levante una nueva instancia de la app Dimo en el smartphone.


El dia Viernes 04 de Octubre, se confirmaron que los casos de fraude continuaban y se identifico el escenario donde una cuenta nueva que NO termino su proceso de catastro pudo realizar una transferencia de la tarjeta de credito (asociada al nro. de documento) a su nueva tarjeta prepaga (es oportuno recordar que para esta accion no es requerido PIN transaccional ) dando a entender que el frontend de la aplicacion Dimo fue vulnerado. Aqui se tomo la segunda accion de mitigacion en Dimo, se realizo una modificacion a nivel de base de datos de tal forma que las cuentas nuevas nazcan bloqueadas requiriendo la intervencion de ATC para habilitar al nuevo usuario de tal forma que este pueda continuar con su proceso de registro. Tambien se tomo una tercera accion paliativa de inhabilitar Dimo en los navegadores de las computadoras, accion que confirmamos posteriormente puede ser burlada facilmente por los hackers. 

Luego de revisar los escenarios de fraude identificados hasta hoy, se concluyo que el hacker tiene el conocimiento suficiente para vulnerar el frontend de Dimo... pero no asi el backend, por lo que las nuevas acciones correctivas que apuntan a implementarse a nivel del backend, son:

  • realizar los controles de registro (proceso de registro completo, no tenga pendiente validaciones de Foto y ATC) de modo habilitar las acciones de cambio de nro. de celular, cambio de correo, ejecutar operaciones de transferencias, pago de servicios y operaciones con QR.
  • Tambien se introduciran mejoras en el control de los limites transaccionales de tal forma a restringir los montos operados en las recargas de billeteras. 


Ya en el dia 09 de Octubre, luego de realizar las certificaciones con la empresa de ciberseguridad Legacy-roots y Operaciones Dimo se procedio a implementar las mejoras de seguridad en el Backend de Dimo. Las mejoras de seguridad introducidas son:
- Cambios de numero de telefono, correo y datos personales necesitan el permiso de ATC via CRM, mas las validaciones de Foto Selfie y ATC (el proceso de Tuerestu).
- Las operaciones de transferencias, compras con QR, pagos de sevicios necesitan en general las validaciones Foto Selfie y ATC, adicionalemente las operaciones con origen TC necesitan que la tarjeta este vinculada.

Siguen en proceso de...

  • certificacion las mejoras en el modulo de Limites Transaccionales de modo a limitar las operaciones con destino Billetera.
  • desarrollo la mejora para en el frontend de Dimo para solicitar PIN en las extracciones en ATM con el QR de Bancard.
  • desarrollo la mejora en el modulo del middleware para controlar las validaciones (Foto Selfie, ATC y TC vinculadas) cuando el origen de las operaciones es WEB.

en cola de desarrollo...

  • la notificacion via sms/correo electronico al origen de las transacciones disparadas desde el canal WEB.
    el proceso de revalidacion de selfie, celular y correo para usuarios bloqueados por inactividad.
  • modificacion de las reglas para Operaciones Sospechosas tomando como base con nro. de documento.

a mas de esto tenemos pendiente la elaboracion del procedimiento de eventos de fraude.


SOLUCION APLICADA 

  • Bloqueo de acceso a los apartados transacciones en el frontend de Dimo.
  • Bloqueo automatico de nuevos usuarios a nivel de Base de Datos.
  • Bloqueo del acceso a Dimo en navegadores.
  • Hacking etico para confirmar la mecanica utilizada por los hackers para vulnerar Dimo, e identificar otras vulnerabilidades.


SOLUCION DE FONDO 

  • Llevar los controles de seguridad implementados actualmente en el frontend al backend de Dimo (controles de validacion de Foto, ATC y vinculacion de TCs).
  • Implementar mejoras en los limites transaccionales de modo a controlar las recargas de billeteras.
  • Implementar las recomendaciones del hacking etico para brindar mayor seguridad a la aplicacion Dimo.
  • Modificar las reglas de deteccion de Operaciones Sospechosos.
  • La elaboracion del documento para establecer el procedimiento para Eventos de Fraude.
  • La contratacion de un responsable de Ciberseguridad para implementar y llevar adelante los controles de Seguridad informatica y Continuidad del Negocio.





  • No labels