*

Online

Falla de seguridad en Rappi deja expuestas las tarjetas de crédito

Una falla en el sistema de pagos de las tarjetas expuso datos sensibles de los usuarios. Qué paso y cómo hay que cuidarse ahora. 

23 de Octubre 2018
Falla de seguridad en Rappi deja expuestas las tarjetas de crédito

Durante los últimos meses, se conocieron muchas quejas de los usuarios de la plataforma de delivery Rappi. Según los reportes de los usuarios, en sus resúmenes de tarjeta de crédito aparecieron diferentes pagos que los propietarios de las tarjetas no realizaron. La falla fue registrada en Colombia, donde los usuarios inundaron las redes con quejas sobre extracciones, pedidos y clonación de usuarios y tarjetas.

Según un reciente reporte de ciberseguridad, existió una peligrosa falla de seguridad en la aplicación de Rappi en lo que respecta al pago con tarjetas. Se entiende que esta vulnerabilidad permitió que que los atacantes obtengan datos personales de los clientes de la aplicación en varios países donde opera, incluida la Argentina, además de información sensible sobre tarjetas de crédito e identificadores digitales (tokens).

"También encontramos errores en el código de inicio de sesiones, los login. Es probable que estas fallas pudieran ser usadas para asociar las tarjetas de crédito almacenadas con cuentas de terceros y proceder a realizar cargos no autorizados tal como se observa en varios reportes en las redes sociales", expresab un informe de ciberseguridad de la consultora Advisability, que se encargo de trabajar el problema con Rappi Colombia.

¿Qué paso?

La plataforma de Rappi, para funcionar, almacena alguno de los datos de las tarjetas bajo su control. La empresa trabajaba con otra compañía llamada Spreedly que operaba a través de la "tokenización" o emisión de identificadores. Las compañías de este tipo reciben los datos de las tarjetas que se usan en los negocios y los reciben en servidores seguros a través de canales seguros. 

A cada tarjeta se le asigna un identificador y es este lo que conoce el comercio (Rappi, en este caso).  Para realizar operaciones se envía este identificador y la operación que se quiere hacer sobre la tarjeta. Por ejemplo. "se cargaron US$ 10 a la tarjeta identificada por H8343assdZd". Así, si bien la empresa no tiene todos los datos, sí tiene los suficientes para poder confirmar la transacción. Entre estos datos se encuentran nombre, DNI, los 10 primeros números de la tarjeta. Lo que permite a quien tiene estos datos, entre otras cosas, generar y confirmar transacciones. 

Así lo explicaba uno de los involucrados en la investigación.

Rappi no uso los métodos estándar de seguridad ni se tomaron las precauciones necesarias. Específicamente, la compañía recolectó los datos de tarjetas desde su página web usando un protocolo de seguridad inadecuado y obsoleto para ese fin: operaban desde su página web.

"Esto significa que estaban incluyendo las credenciales (contraseñas) del compartimento seguro en el código de la página web expuestas al abuso de cualquier persona que pueda usar un navegador para cargar una página web. Estas credenciales permiten conocer información de todas las tarjetas almacenadas (creemos que todas las de Colombia, Argentina, Chile, México y Brasil) así como los identificadores únicos (tokens) y realizar cargos y otras operaciones sobre cualquiera de ellas", explicaron en el mismo blog anteriormente citado.

La información vulnerada sería  últimos cuatro números de la tarjeta de crédito, primeros seis números de la tarjeta de crédito, correo electrónico, nombre y apellido, año y mes de expiración de la tarjeta de crédito, direcciones, ciudad y país.

Desde que se reportó el incidente, Rappi tardó 61 días en resolverlo. Ahora, los datos de las tarjetas no van directamente al procesador de pagos sino que pasan por los servidores de la nube (o lo que es igual, AWS) administrados por Rappi desde donde, se estima, agregan las tarjetas al compartimento seguro. Si bien esto sigue siendo problemático, por ahora la empresa parece haber decidido replegarse a los estándares de seguridad (particularmente, PCI SAQ-D) para evitar futuras fallas. 



¿Te gustó la nota?

Comparte tus comentarios

Sé el primero en comentar

Notas Relacionadas