...
| Fecha Evento |
|
|---|---|
| Fecha Documento |
|
| Estado del Documento |
|
| Autor | Hugo A. Diaz Parra |
| Informador | Claudia Estigarribia |
| Version | 231007.1 |
| Ticket | https://sistemas.cabal.coop.py/view.php?id=5772 |
| Resumen | VULNERABILIDAD EN CAMBIO DE DATOS DE CORREO Y TELEFONO |
...
DESCRIPCION
De detectaron casos de cambio de numero que se saltaron la habilitacion de ATC.
...
BITACORA
El miercoles 02 Octubre nos notificaron casos de cambio de numero que se saltaron aparentemente la habilitacion de ATC. En una prueba realizada por el Gerente Comercial Juan Almada se confirmo que efectivamente existian cuentas que tenian activa la validacion de ATC para realizar el cambio de nro. telefonico en Dimo. Luego de realizar unas consultas a nivel de Base de Datos se confirmo efectivamente que existian 221 cuentas habiltadas para realizar modificaciones de nro. de telefono, otras 335 para modificar sus correo, y 161 para modificar su contraseña.
...
- Tambien se introduciran mejoras en el control de los limites transaccionales de tal forma a restringir los montos operados en las recargas de billeteras.
...
SOLUCION APLICADA
- Bloque de acciones en el frontend de Dimo.
- Bloqueo automatico de nuevos usuarios.
- Bloqueo del acceso a Dimo en navegadores
...
SOLUCION DE FONDO
- Llevar los controles de seguridad implementados actualmente en el frontend al backend de Dimo.
- Implementar mejoras en los limites transaccionales de modo a controlar las recargas de billeteras.
- Hacking etico para confirmar la mecanica utilizada por los hackers para vulnerar Dimo, e identificar otras vulnerabilidades.
- Implementar las recomendaciones del hacking etico para brindar mayor seguridad a la aplicacion Dimo.
...