O pesquisador de segurança cibernética Jamieson O’Reilly disse que a falha de segurança que Dean identificou provavelmente foi causada por más medidas de segurança em uma página do website da rede de cartões-especificamente a falta de captchas e limitação de taxa.
Carregando
Os captchas são um teste on -line comum, onde os usuários executam uma ação para provar que são humanos e não bots. A limitação da taxa é um recurso de segurança que restringe o número de vezes que uma ferramenta on -line pode ser usada dentro de um período específico.
O’Reilly disse que seria viável para uma pessoa com conhecimento básico de codificação para acessar essa vulnerabilidade, chamando o nível de habilidade técnica envolvida de “extremamente baixa”.
“Os atacantes podem raspar ou fotografar números de cartões em lojas de varejo antes da compra, monitorar a ativação e imediatamente forçar o PIN … uma vez que os fundos ao vivo fossem detectados”, disse ele.
“Esse tipo de exploração não requer malware especializado, roubo de credenciais ou técnicas avançadas de intrusão. Simplesmente aproveita a má higiene de segurança de aplicativos da Net”.
Dean disse que entrou em contato com a rede de cartões através de três canais separados para sinalizar a falha de segurança que havia encontrado em 25 de agosto. Uma semana depois, ele recebeu apenas uma resposta genérica por e -mail dizendo que o problema seria escalado. Foi quando ele decidiu fazer um vídeo do YouTube.
“Esse foi um tipo de falta de supervisão tão flagrante. Period ridículo que eu consegui fazer isso. Levei menos de 15 minutos para programar o pequeno roteiro e quebrar o alfinete”, disse ele.
“Não há razão para que eu exact fazer este vídeo para recuperar meu dinheiro.”
Um porta -voz da rede de cartões confirmou que a empresa entrou em contato com Dean em resposta ao seu vídeo. Eles disseram que seu dinheiro perdido havia sido reembolsado e suas preocupações mais amplas foram corrigidas.
Carregando
“Aproveitamos uma variedade de ferramentas e tecnologias de segurança para monitorar atividades suspeitas ao longo do ciclo de vida de um cartão -presente da ativação à redenção”, disse o porta -voz.
A empresa se recusou a comentar a natureza exata da vulnerabilidade de segurança ou quantos indivíduos poderiam ter sido afetados.
Após um árduo processo de atendimento ao cliente que durou quase dois meses, Dean disse que ainda estava insatisfeito com a resposta da empresa. A rede de cartões deve reconhecer o impacto mais amplo da vulnerabilidade, disse ele.
“Obviamente, eu queria meus US $ 500 de volta. Mas, ao mesmo tempo, muitas pessoas em todo o país … provavelmente estão sendo enganadas por isso. Então, eu só quero que elas consertem seus sistemas e melhorem seu atendimento ao cliente”, disse ele.
“Leve isso muito a sério. Especialmente porque esses são presentes … se você tem um problema, deseja resolvê -lo.”
O boletim informativo para briefing de negócios oferece grandes histórias, cobertura exclusiva e opinião de especialistas. Inscreva -se para obtê -lo todos os dias da semana de manhã.
