Fiserv, vulnerabilità espone i dati dei clienti di banche USA

Fiserv è una grande azienda americana (24.000 dipendenti, 5.7 miliardi di dollari di fatturato) che offre servizi tecnologici a migliaia di piccole banche statunitensi, che da sole non sarebbero in grado di creare e gestire i portali e i servizi di e-banking richiesti dagli utenti.

Il divulgatore Brian Krebs e il ricercatore Kristian Hermansen hanno scoperto una grave vulnerabilità che consentiva di accedere ai dati di un numero imprecisato di clienti delle banche che affidano a Fiserv la gestione dei servizi di e-mail alert.

Quando il cliente di una banca richiedeva l’invio di un messaggio e-mail dopo ogni transazione sul conto, il sistema assegnava all’evento un numero che si è rivelato essere progressivo. Al cliente bastava collegarsi al sito web e cambiare manualmente la URL della pagina contenente il numero dell’evento (ad esempio inserendo la cifra precedente) per accedere alla transazione di un altro cliente della banca. Il sito rivelava l’indirizzo e-mail, il numero di telefono e le ultime quattro cifre del conto del cliente.

Per assicurarsi che il problema non fosse limitato solo alla piccola banca usata da Hermansen, Krebs ha aperto conti presso altre due banche servite da Fiserv e ha potuto constatare che la vulnerabilità era presente anche in quei casi. In tutti i casi il dominio usato per accedere ai servizi era *.secureinternetbank.com.

L’azienda ha affermato di aver chiuso la vulnerabilità, ma non ha dichiarato quanti clienti sono stati coinvolti nel data breach. Secondo KrebsOnSecurity le banche che usano i servizi di retail di Fiserv sono 1.700.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society, membro dell'Associazione Italiana esperti in Infrastrutture Critiche (AIIC) e della Association for the Advancement of Artificial Intelligence (AAAI). Dal 2006 lavoro per ESET, dove ricopro il ruolo di Operations Manager. Il blog è personale.