SISTEMAS
Page tree

Versions Compared

Old Version 19

changes.mady.by.user Hugo Diaz

Saved on

compared with

New Version Current

changes.mady.by.user Hugo Diaz

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

Fecha Evento

 

Fecha Documento

07  

Estado del Documento
  •  BORRADOR
  •  FINAL
Autor

Hugo A. Diaz Parra

InformadorClaudia Estigarribia
Version231007.12
Tickethttps://sistemas.cabal.coop.py/view.php?id=5772
ResumenVULNERABILIDAD EN CAMBIO DE DATOS DE CORREO Y TELEFONO

...

  • Tambien se introduciran mejoras en el control de los limites transaccionales de tal forma a restringir los montos operados en las recargas de billeteras. 


Ya en el dia 09 de Octubre, luego de realizar las certificaciones con la empresa de ciberseguridad Legacy-roots y Operaciones Dimo se procedio a implementar las mejoras de seguridad en el Backend de Dimo. Las mejoras de seguridad introducidas son:
- Cambios de numero de telefono, correo y datos personales necesitan el permiso de ATC via CRM, mas las validaciones de Foto Selfie y ATC (el proceso de Tuerestu).
- Las operaciones de transferencias, compras con QR, pagos de sevicios necesitan en general las validaciones Foto Selfie y ATC, adicionalemente las operaciones con origen TC necesitan que la tarjeta este vinculada.

Siguen en proceso de...

  • certificacion las mejoras en el modulo de Limites Transaccionales de modo a limitar las operaciones con destino Billetera.
  • desarrollo la mejora para en el frontend de Dimo para solicitar PIN en las extracciones en ATM con el QR de Bancard.
  • desarrollo la mejora en el modulo del middleware para controlar las validaciones (Foto Selfie, ATC y TC vinculadas) cuando el origen de las operaciones es WEB.

en cola de desarrollo...

  • la notificacion via sms/correo electronico al origen de las transacciones disparadas desde el canal WEB.
    el proceso de revalidacion de selfie, celular y correo para usuarios bloqueados por inactividad.
  • modificacion de las reglas para Operaciones Sospechosas tomando como base con nro. de documento.

a mas de esto tenemos pendiente la elaboracion del procedimiento de eventos de fraude.


...

SOLUCION APLICADA 

  • Bloqueo de acceso a los apartados transacciones en el frontend de Dimo.
  • Bloqueo automatico de nuevos usuarios a nivel de Base de Datos.
  • Bloqueo del acceso a Dimo en navegadores.
  • Hacking etico para confirmar la mecanica utilizada por los hackers para vulnerar Dimo, e identificar otras vulnerabilidades.

...

  • Llevar los controles de seguridad implementados actualmente en el frontend al backend de Dimo (controles de validacion de Foto, ATC y vinculacion de TCs).
  • Implementar mejoras en los limites transaccionales de modo a controlar las recargas de billeteras.
  • Implementar las recomendaciones del hacking etico para brindar mayor seguridad a la aplicacion Dimo.
  • Modificar las reglas de deteccion de Operaciones Sospechosos.
  • La elaboracion del documento para establecer el procedimiento para Eventos de Fraude.
  • La contratacion de un responsable de Ciberseguridad para implementar y llevar adelante los controles de Seguridad informatica y Continuidad del Negocio.

...