SISTEMAS
Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »

Fecha Evento

 

Fecha Documento

 

Estado del Documento
  • BORRADOR
  • FINAL
Autor

Hugo A. Diaz Parra

InformadorClaudia Estigarribia
Version231007.1
Tickethttps://sistemas.cabal.coop.py/view.php?id=5772
ResumenBULNERABILIDAD EN CAMBIO DE DATOS DE CORREO Y TELEFONO


DESCRIPCION 

De detectaron casos de cambio de numero que saltaron la habilitacion de ATC.


BITACORA 

El miercoles 02 Octubre se notificacion casos de cambio de numero que se saltaron aparentemente la habilitatcion de ATC. En una prueba realizada por el Gerente Comercial Juan Almada se confirmo que existian cuentas que tenian activa la validacion de ATC para realizar el cambio de nro. telefonico en Dimo. Luego de realizar unas consultas a nivel de Base de Datos se confirmo efectivamente que existian 221 cuentas habiltadas para realizar modificaciones de nro. de telefono, otras 335 para modificar sus correo,  y 161 para modifica su contraseña.

Luego de presentar esta situacion a la Sub-Gerente de Operaciones Laura Martinez se procedio a inhabilitarlas de forma masiva.

Ya el dia Jueves 03 de Octubre nos notificaron casos de fraude donde se realizaron cambios de numeros. Esta nueva informacion nos llevo a buscar quienes realizaron cambio de nro. dentro de una ventana que iniciaba el 20 de Septiembre con unos 29 registros de cambio y con una ventana que iniciaba en 01 de Julio unos 146 registros, reportes que fueron entregados a Operaciones Dimo para su control.

Ese mismo dia la compañera Cecilia Vera informo que la cuenta asociada al evento de fraude (ya confirmado) no tenia registrado ninguna incidencia para cambio de nro. y por consecuente la habilitacion correspondiente para realizar tal accion dentro de DIMO. Este hecho lo confirmamos revisando las tablas de las bases de datos de Dimo, con lo cual iniciamos la investigacion para encontrar el mecanismo utilizado por los hackers para poder realizar tal accion... no llegando a ninguna conclusion.

Esa misma tarde, ya finalizando el dia, se procedio a realizar la primera accion correctiva a nivel del frontend de Dimo... inhabilitar los botones de Transferencias, Pago de Servicios, Cuentas Cooperativas y Efectivo para aquellas cuentas que no hayan completado su proceso de registro (tengan pendiente las valicaciones de Foto y ATC). Si bien esta accion se llevo a produccion solo seria efectiva cuando el usuario realice un refresh en su navegador, o bien, levante una nueva instancia de la app Dimo en el smartphone.

El dia viernes 






SOLUCION APLICADA 




SOLUCION DE FONDO 





  • No labels