SISTEMAS
Page tree
Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 16 Next »

Fecha Evento

 

Fecha Documento

 

Estado del Documento
  • BORRADOR
  • FINAL
Autor

Hugo A. Diaz Parra

InformadorClaudia Estigarribia
Version231007.1
Tickethttps://sistemas.cabal.coop.py/view.php?id=5772
ResumenVULNERABILIDAD EN CAMBIO DE DATOS DE CORREO Y TELEFONO


DESCRIPCION 

De detectaron casos de cambio de numero que se saltaron la habilitacion de ATC.


BITACORA 

El miercoles 02 Octubre nos notificaron casos de cambio de numero que se saltaron aparentemente la habilitacion de ATC. En una prueba realizada por el Gerente Comercial Juan Almada se confirmo que efectivamente existian cuentas que tenian activa la validacion de ATC para realizar el cambio de nro. telefonico en Dimo. Luego de realizar unas consultas a nivel de Base de Datos se confirmo efectivamente que existian 221 cuentas habiltadas para realizar modificaciones de nro. de telefono, otras 335 para modificar sus correo,  y 161 para modificar su contraseña.

Luego de presentar esta situacion a la Sub-Gerente de Operaciones Laura Martinez se procedio a inhabilitarlas de forma masiva.

Ya el dia Jueves 03 de Octubre nos notificaron casos de fraude donde se realizaron cambios de numeros. Esta nueva informacion nos llevo a buscar quienes realizaron cambio de nro. dentro de una ventana que iniciaba el 20 de Septiembre con unos 29 registros de cambio y con una ventana que iniciaba en 01 de Julio unos 146 registros, reportes que fueron entregados a Operaciones Dimo para su control.

Ese mismo dia la compañera Cecilia Vera informo que la cuenta asociada al evento de fraude ya confirmado, no tenia registrado ninguna incidencia para cambio de nro. y por consecuente la habilitacion correspondiente para realizar tal accion dentro de Dimo. Este hecho lo confirmamos revisando las tablas de las bases de datos de Dimo, con lo cual iniciamos la investigacion para encontrar el mecanismo utilizado por los hackers para poder realizar tal accion... no llegando a ninguna conclusion.

Esa misma tarde, ya finalizando el dia, se procedio a realizar la primera accion correctiva a nivel del frontend de Dimo... inhabilitar los botones de Transferencias, Pago de Servicios, Cuentas Cooperativas y Efectivo para aquellas cuentas que no hayan completado su proceso de registro (tengan pendiente las valicaciones de Foto y ATC). Si bien esta accion se llevo a produccion solo seria efectiva cuando el usuario realice un refresh en su navegador, o bien, levante una nueva instancia de la app Dimo en el smartphone.

El dia Viernes 04 de Octubre, se confirmaron que los casos de fraude continuaban y se identifico el escenario donde una cuenta nueva que NO termino su proceso de catastro pudo realizar una transferencia de la tarjeta de credito (asociada al nro. de documento) a su nueva tarjeta prepaga (es oportuno recordar que para esta accion no es requerido PIN transaccional ) dando a entender que el frontend de la aplicacion Dimo fue vulnerado. Aqui se tomo la segunda accion de mitigacion en Dimo, se realizo una modificacion a nivel de base de datos de tal forma que las cuentas nuevas nazcan bloqueadas requiriendo la intervencion de ATC para habilitar al nuevo usuario de tal forma que este pueda continuar con su proceso de registro. Tambien se tomo una tercera accion paliativa de inhabilitar Dimo en los navegadores de las computadoras, accion que confirmamos posteriormente puede ser burlada facilmente por los hackers. 

Luego de revisar los escenarios de fraude identificados hasta hoy, se concluyo que el hacker tiene el conocimiento suficiente para vulnerar el frontend de Dimo... pero no asi el backend, por lo que las muevas acciones correctivas apuntan a implementarse a nivel del backend, son:

  • realizar los controles de registro (proceso de registro completo, no tenga pendiente validaciones de Foto y ATC) de modo habilitar las acciones de cambio de nro. de celular, cambio de correo, ejecutar operaciones de transferencias, pago de servicios y operaciones con QR.
  • Tambien se introduciran mejoras en el control de los limites transaccionales de tal forma a restringir los montos operados en las recargas de billeteras. 

SOLUCION APLICADA 

  • Bloque de acciones en el frontend de Dimo.
  • Bloqueo automatico de nuevos usuarios.
  • Bloqueo del acceso a Dimo en navegadores

SOLUCION DE FONDO 

  • Llevar los controles de seguridad implementados actualmente en el frontend al backend de Dimo.
  • Implementar mejoras en los limites transaccionales de modo a controlar las recargas de billeteras.
  • Hacking etico para confirmar la mecanica utilizada por los hackers para vulnerar Dimo, e identificar otras vulnerabilidades.
  • Implementar las recomendaciones del hacking etico para brindar mayor seguridad a la aplicacion Dimo.





  • No labels