Equifax Argentina usaba usuario y contraseña “admin” en su portal

Desde la aplicación señal Veraz podían visualizarse datos de empleados y de clientes argentinos, todo en texto plano.

Continúan surgiendo malas noticiario con respecto al hackeo del que fue víctima Equifax el jueves pasado, una empresa financiera dedicada a sostener los registros de los consumidores para que los negocios puedan memorizar qué tan riesgoso es otorgarles un crédito o extenderles nuevas líneas.

Oficialmente se había confirmado que la filtración de datos afectó a clientes de Canadá y el Reino Unido, pero en efectividad no serían los únicos países afectados por este incidente sin precedentes. Chile, Ecuador, Paraguay, Peru, Uruguay, Brasil y Argentina estarían en la nómina, lugares donde Equifax lleva a extremidad operaciones y tiene clientes.

Precisamente, es Equifax Argentina la que protagoniza un nuevo reporte, posteriormente que investigadores de la firma Hold Security descubrieran que el portal que usan para ejecutar los reportes de disputas de los clientes de ese país era prácticamente inseguro. Su heredero y contraseña era simplemente “admin”, según reporta Krebs on Security.

(c) Krabs on Security

Los investigadores no tardaron en descubrir la nula seguridad en la aplicación señal Veraz, accesible para todos y con llegada al registro de más de 100 empleados de Equifax Veraz, desvelando nombres, usuarios y correos, adicionalmente de permitir la suplemento, modificación y matanza de usuarios.

(c) Krabs on Security

En la página para editar la información de los empleados se descubrió que la contraseña de cada uno de ellos estaba conformada por su patronímico o por una combinación de sus iniciales y su patronímico, ocultada por puntos, pero visible mediante el código fuente de la página. Cualquiera que tuviera conocimiento de esta información habría descubierto lo pusilánime que era la aplicación.

(c) Krabs on Security

Pero esto no es todo, pues desde el portal para empleados de la página web equifax.com.ar se podía entrar a más de 14 mil registros de quejas de clientes contactando a Equifax mediante fax, teléfono o correo electrónico, aproximadamente 715 páginas con información del número de seguridad social y nombres de los mismos, así como detalles de su queja.

(c) Krabs on Security

Alex Holden, fundador de la firma que descubrió esta nueva vulnerabilidad, considera que “esto es sólo negligencia”, porque “en este caso, su aproximación hacia la seguridad era simplemente abismal, y es difícil creer que el resto de sus operaciones sean mucho mejores”.

En cuanto Krebs on Security contactó a Equifax al respecto, los abogados de la compañía dijeron al autor que lo contactarían posteriormente que “validaran la queja”. Y así fue: la aplicación Veraz fue deshabilitada, mientras Equifax investiga como es que esto sucedió.


Source link

deja tu opinion

Seguinos

Tecnoblog en las redes sociales