Fiserv è una grande azienda americana (24.000 dipendenti, 5.7 miliardi di dollari di fatturato) che offre servizi tecnologici a migliaia di piccole banche statunitensi, che da sole non sarebbero in grado di creare e gestire i portali e i servizi di e-banking richiesti dagli utenti.
Il divulgatore Brian Krebs e il ricercatore Kristian Hermansen hanno scoperto una grave vulnerabilità che consentiva di accedere ai dati di un numero imprecisato di clienti delle banche che affidano a Fiserv la gestione dei servizi di e-mail alert.
Quando il cliente di una banca richiedeva l’invio di un messaggio e-mail dopo ogni transazione sul conto, il sistema assegnava all’evento un numero che si è rivelato essere progressivo. Al cliente bastava collegarsi al sito web e cambiare manualmente la URL della pagina contenente il numero dell’evento (ad esempio inserendo la cifra precedente) per accedere alla transazione di un altro cliente della banca. Il sito rivelava l’indirizzo e-mail, il numero di telefono e le ultime quattro cifre del conto del cliente.
Per assicurarsi che il problema non fosse limitato solo alla piccola banca usata da Hermansen, Krebs ha aperto conti presso altre due banche servite da Fiserv e ha potuto constatare che la vulnerabilità era presente anche in quei casi. In tutti i casi il dominio usato per accedere ai servizi era *.secureinternetbank.com.
L’azienda ha affermato di aver chiuso la vulnerabilità, ma non ha dichiarato quanti clienti sono stati coinvolti nel data breach. Secondo KrebsOnSecurity le banche che usano i servizi di retail di Fiserv sono 1.700.
