Page History

...

...

DESCRIPCION 

De detectaron casos de cambio de numero que se saltaron la habilitacion de ATC.

...

BITACORA 

El miercoles 02 Octubre nos notificaron casos de cambio de numero que se saltaron aparentemente la habilitacion de ATC. En una prueba realizada por el Gerente Comercial Juan Almada se confirmo que efectivamente existian cuentas que tenian activa la validacion de ATC para realizar el cambio de nro. telefonico en Dimo. Luego de realizar unas consultas a nivel de Base de Datos se confirmo efectivamente que existian 221 cuentas habiltadas para realizar modificaciones de nro. de telefono, otras 335 para modificar sus correo,  y 161 para modificar su contraseña.

...

Luego de revisar los escenarios de fraude identificados hasta hoy, se concluyo que el hacker tiene el conocimiento suficiente para vulnerar el frontend de Dimo... pero no asi el backend, por lo que las muevas nuevas acciones correctivas que apuntan a implementarse a nivel del backend, son:

...

• Tambien se introduciran mejoras en el control de los limites transaccionales de tal forma a restringir los montos operados en las recargas de billeteras. 

Ya en el dia 09 de Octubre, luego de realizar las certificaciones con la empresa de ciberseguridad Legacy-roots y Operaciones Dimo se procedio a implementar las mejoras de seguridad en el Backend de Dimo. Las mejoras de seguridad introducidas son:
- Cambios de numero de telefono, correo y datos personales necesitan el permiso de ATC via CRM, mas las validaciones de Foto Selfie y ATC (el proceso de Tuerestu).
- Las operaciones de transferencias, compras con QR, pagos de sevicios necesitan en general las validaciones Foto Selfie y ATC, adicionalemente las operaciones con origen TC necesitan que la tarjeta este vinculada.

Siguen en proceso de...

• certificacion las mejoras en el modulo de Limites Transaccionales de modo a limitar las operaciones con destino Billetera.
• desarrollo la mejora para en el frontend de Dimo para solicitar PIN en las extracciones en ATM con el QR de Bancard.
• desarrollo la mejora en el modulo del middleware para controlar las validaciones (Foto Selfie, ATC y TC vinculadas) cuando el origen de las operaciones es WEB.

en cola de desarrollo...

• la notificacion via sms/correo electronico al origen de las transacciones disparadas desde el canal WEB.
  el proceso de revalidacion de selfie, celular y correo para usuarios bloqueados por inactividad.
• modificacion de las reglas para Operaciones Sospechosas tomando como base con nro. de documento.

a mas de esto tenemos pendiente la elaboracion del procedimiento de eventos de fraude.

...

SOLUCION APLICADA 

• Bloque de acciones Bloqueo de acceso a los apartados transacciones en el frontend de Dimo.
• Bloqueo automatico de nuevos usuarios a nivel de Base de Datos.
• Bloqueo del acceso a Dimo en navegadores.
• Hacking etico para confirmar la mecanica utilizada por los hackers para vulnerar Dimo, e identificar otras vulnerabilidades.

...

SOLUCION DE FONDO 

• Llevar los controles de seguridad implementados actualmente en el frontend al backend de Dimo (controles de validacion de Foto, ATC y vinculacion de TCs).
• Implementar mejoras en los limites transaccionales de modo a controlar las recargas de billeteras.Hacking etico para confirmar la mecanica utilizada por los hackers para vulnerar Dimo, e identificar otras vulnerabilidades.
• Implementar las recomendaciones del hacking etico para brindar mayor seguridad a la aplicacion Dimo.
• Modificar las reglas de deteccion de Operaciones Sospechosos.
• La elaboracion del documento para establecer el procedimiento para Eventos de Fraude.
• La contratacion de un responsable de Ciberseguridad para implementar y llevar adelante los controles de Seguridad informatica y Continuidad del Negocio.