(El artículo ha sido enmendado para llevar la siguiente declaración: "A partir de una llamada con easyJet que concluyó a las 14.05 el miércoles 9 de diciembre, Wandera se complace en decir que es fácil de confirmar que esto ya no es un problema continuo". - Eldar Tuvey, CEO y cofundador de Wandera.)

Se ha descubierto otro agujero de seguridad importante, y esta vez se trata de información financiera y de datos personales, con la filtración de datos de la tarjeta de crédito durante las compras de aplicaciones y sitios web móviles de cierta empresa..

Wandera descubrió esta vulnerabilidad, que se llamó CardCrypt, y observó que la información de pago no cifrada se está filtrando de los teléfonos inteligentes cuando los usuarios están completando transacciones a través de la web móvil o cuando usan aplicaciones..

Las compañías afectadas incluyen los servicios de Chiltern Railways y Dash Card en el Reino Unido, y Aer Lingus en Irlanda, junto con Air Canada, AirAsia y American Taxi, por nombrar algunos (16 empresas están afectadas en total).

Los datos derramados incluyen los detalles completos de la tarjeta de crédito (incluido el número de seguridad CVV crucial en la parte posterior en algunos casos), así como los nombres y direcciones de los clientes, junto con los datos de contacto y, por supuesto, los detalles de las transacciones..

Wandera señala que los datos exactos que se filtran varían de una compañía a otra, según lo que la organización requiera del cliente para procesar la transacción, pero en casi todos los casos, los datos completos de la tarjeta de crédito se recogieron sin cifrar (y la información aparentemente detallada del pasaporte en un caso) ).

Sí, esa es una situación sumamente preocupante, particularmente para los clientes de estas 16 compañías que suman alrededor de medio millón por día..

Si utiliza una de las compañías, entonces probablemente no se sienta reconfortado al escuchar que en las pruebas de Wandera, los datos completos de la tarjeta de crédito se filtraron sin cifrar..

Fallo de HTTPS

Quizás aún más preocupante es la naturaleza básica de esta vulnerabilidad, ya que se está produciendo una fuga porque los sitios y las aplicaciones de estas organizaciones no están usando HTTPS para cifrar los datos que se envían desde el teléfono a la compañía. En su lugar, los detalles financieros confidenciales simplemente se transmiten a través de una conexión HTTP estándar, dejándolos abiertos a la interceptación y el subsiguiente mal uso.

¿No es HTTPS un requisito en tales transacciones? De hecho, PCI DSS (Normas de seguridad de datos de la industria de tarjetas de pago) estipula que toda información confidencial debe cifrarse cuando se transmita a través de redes públicas, por razones obvias..

Eldar Tuvey, CEO de Wandera, comentó: "Creemos que hay dos razones probables por las cuales no se ha utilizado HTTPS. Podría ser una falla en la codificación, o podría ser un caso de depender de servicios o bibliotecas de terceros inadecuados. De cualquier manera, me sorprende que estas compañías no hayan tenido el cuidado suficiente en la recopilación de datos personales de sus clientes ".

También podría haber otras compañías afectadas por el mismo defecto. Mientras tanto, las firmas anteriores ya han sido notificadas de este problema y es de esperar que tomen medidas (o que ya lo hayan hecho).

  • Las 10 principales violaciones de datos de los últimos 12 meses