...
El dia Viernes 04 de Octubre, se confirmaron que los casos de fraude continuaban y se identifico un escenario donde una cuenta nueva que no termino su proceso de catastro pudo realizar una transferencia de la tarjeta de credito asociada al nro. de documento a su nueva tarjeta prepaga (es oportuno recordar que para esta accion no es requerido PIN transaccional ) dando a entender que el frontend de la aplicacion Dimo fue vulnerada. Aqui se tomo la segunda accion paliativa en Dimo, se realizo una modificacion a nivel de base de datos de tal forma que las cuentas nuevas nazcan bloqueadas requiriendo la intervencion de ATC para habilitar al nuevo usuario de tal forma que este pueda continuar con su proceso de registro. Tambien se tomo una tercera accion paliativa de inhabilitar Dimo en los navegadores de las computadoras, accion que confirmamos posteriormente puede ser burlada facilmente por los hackers.
Luego de revisar los escenarios de fraude identificados hasta hoy, se concluyo que el hacker tiene el conocimiento suficiente para bulnerar el frontend de Dimo... pero no asi el backend, por lo que las acciones correctivas a implementar a nivel del backend son:
- realizar los controles de registro (proceso de registro completo, no tenga pendiente validaciones de Foto y ATC) de modo habilitar las acciones de cambio de nro. de celular, cambio de correo, operaciones de transferencias, pago de servicios y operaciones con QR.
- Tambien se introduciran mejoras en el control de los limites transaccionales de tal forma a restringir los montos operados en las recargas de billeteras.
...
SOLUCION APLICADA
...
SOLUCION DE FONDO
...