2019/07/08

Falha em app de pagamentos da 7-Eleven no Japão permitiu roubar 450 mil euros


A 7-Eleven no Japão lançou e logo de seguida suspendeu a sua app de pagamentos, depois de uma falha básica permitir que atacantes se apoderassem das contas dos clientes, tendo gasto 450 mil euros de forma fraudulenta.

Se há coisa que se pode dizer que é verdadeiramente global são as falhas de segurança. Neste caso, mesmo num país com longa tradição nos pagamentos wireless como o Japão, a 7-Eleven não conseguiu evitar que a sua nova app de pagamentos tivesse uma falha extremamente básica no processo de recuperação de password.

A app permitia que um qualquer desconhecido fizesse o processo de recuperação de password para qualquer endereço de email à sua escolha, bastando que para isso soubesse o email da vítima, o seu número de telefone e a sua data de nascimento: tudo informação que não costuma ser difícil de obter. Tanto não o é que rapidamente surgiram atacantes a fazer ataques de forma sistemática, tendo conseguido obter o controlo das contas de 900 utilizadores e gasto cerca de 450 mil euros em seu nome.

Expliquem-me lá como é que, para uma app de pagamentos, ninguém se terá lembrado ou chamado a atenção para que o processo de recuperação de conta com dados tão "corriqueiros" seria um desastre à espera de acontecer? Foi uma lição que felizmente só custou 450 mil euros... Poderia ter sido bem mais.

2 comentários:

  1. Foi uma App Agile e feita por um estagiário...

    ResponderEliminar
  2. Seria muito complicado associar um número de conta e código de recuperação independente da aplicação... de tal forma que mesmo que alguém tivesse todos os dados presentes na aplicação mesmo assim não pudesse obter tais dados.
    Algo tipo:
    Conta: 192.109.209.103
    Código de recuperação: 18239-10984-10923-11018-10925-11097-90990-01923

    Mesmo assim teriam de ter um web site específico e um aviso claro no cartão de recuperação que se o cliente colocar os dados na aplicação ou em qualquer outro lado que não nesse web site específico irá perder todo o dinheiro permanentemente e que a empresa não o irá reembolsar considerando o cliente como 100% responsável.
    Adivinhar uma conta com 12 números aleatórios e o código de recuperação associado com 40 números aleatórios parece impossível o suficiente para ser totalmente seguro de adivinhação em especial se tiverem sistemas de limitação de tentativas por IP.
    Mas parece que alguém pensar numa coisa assim é algo muito complicado eh eh

    ResponderEliminar