Si vous vendez un logiciel Web pour gagner votre vie et expédiez un code qui fait référence à un nom de domaine non enregistré, vous cherchez des ennuis. Mais lorsque la même erreur est commise par une entreprise du Fortune 500, les résultats peuvent aller de coûteux à désastreux. Voici l’histoire d’une telle gaffe commise par Fiserv [NASDAQ:FISV]une entreprise de 15 milliards de dollars qui fournit des logiciels bancaires en ligne et d’autres solutions technologiques à des milliers d’institutions financières.
En novembre 2020, BreachTrace a entendu un chercheur en sécurité Abraham Veghqui a remarqué quelque chose d’étrange en consultant un e-mail de son institution financière.
Vegh pouvait voir que le message de sa banque faisait référence à un domaine curieux : defaultinstitution.com. Une recherche rapide des enregistrements d’enregistrement WHOIS a montré que le domaine n’était pas enregistré. Se demandant s’il pourrait recevoir des communications par e-mail à cette adresse s’il enregistrait le domaine, Vegh l’a récupéré pour quelques dollars, a créé un compte de messagerie fourre-tout et a attendu.
« Il semble que le domaine soit fourni par défaut, et les services informatiques des banques clientes supposent qu’ils n’ont pas besoin de le changer, ou ne savent pas qu’ils pourraient/devraient », a déclaré Vegh, notant qu’une personne malveillante qui a trébuché lors de sa découverte antérieure aurait pu disposer d’un domaine puissant et fiable à partir duquel lancer des attaques de phishing par e-mail.
Au début, seuls quelques e-mails capricieux sont arrivés. Assez ironiquement, l’un d’entre eux provenait d’un responsable « assurance qualité » chez Fiserv. Le message de réponse automatique indiquait que l’employé était absent du bureau « sur R&R » et serait de retour au travail le 14 décembre.
De nombreux autres e-mails ont afflué, y compris de nombreux messages « rebondis » livrés en réponse à des missives de Cashedge.comun service de transfert d’argent qui Fiserv acquis en 2011.
Les e-mails sont rejetés (ou renvoyés à l’expéditeur) lorsqu’ils sont envoyés à une adresse qui n’existe pas ou qui n’est plus active. Les messages avaient été envoyés à une adresse e-mail d’un ancien directeur des solutions client chez Fiserv ; l’adresse « répondre à : » dans ces lettres était « [email protected] ».
Les messages informaient les clients du service principal de CashEdge Popmoney – qui permet aux utilisateurs d’envoyer, de demander et de recevoir de l’argent directement à partir de comptes bancaires – que Popmoney a été remplacé par Zelleun service de transfert de banque à banque plus moderne.
Chaque missive CashEdge comprenait des informations sur les transferts récurrents qui étaient annulés, tels que l’ID du plan, la date d’envoi, le montant à transférer, le nom et les quatre derniers chiffres du numéro de compte d’où provenait l’argent et l’adresse e-mail du destinataire. Compte.
Incroyablement, au bas de chaque message aux clients de CashEdge/Popmoney se trouvait un texte passe-partout : « Cet e-mail a été envoyé à [recipient name here]. Si vous avez reçu cet e-mail par erreur, veuillez envoyer un e-mail à [email protected].
D’autres services qui invitaient les clients à répondre au domaine du chercheur comprenaient le client Fiserv Netspend.com, l’un des principaux fournisseurs de cartes de débit prépayées sans solde minimum ni vérification de solvabilité. Les messages de Netspend visaient tous à confirmer l’adresse e-mail liée à un nouveau compte et concernaient des « transferts de moi à moi » mis en place via son service.
Chaque message comprenait un code à usage unique que les destinataires étaient invités à entrer sur le site Web de l’entreprise. Mais à la lecture des nombreuses réponses à ces missives, il semble que Netspend n’ait pas rendu très évident où les utilisateurs étaient censés saisir ce code. Voici l’un des exemples les plus profanes d’une réponse client :
De nombreux autres e-mails envoyés par Netspend ont exprimé leur mystification quant à la raison pour laquelle ils recevaient de tels messages, déclarant qu’ils ne s’étaient jamais inscrits au service. D’après l’essentiel de ces messages, les répondants ont été victimes d’usurpation d’identité.
« Mes comptes ont été piratés et si un financement a disparu, votre [sic] poursuivi contre moi et la commission fédérale du commerce », a écrit l’un d’eux. « Je n’ai pas créé le compte. Veuillez arrêter ce compte et faites-moi savoir ce qui se passe », a répondu un autre. « Je n’ai jamais souscrit à ce service. Quelqu’un d’autre utilise mes informations », a écrit un troisième.
Ces messages concernaient également les transferts de moi à moi. D’autres e-mails provenaient de Detroit TCF Banque Nationale.
Basé à New York Banque de l’Union a également envoyé des informations sur les clients au domaine du chercheur. Ces deux messages visaient à confirmer que le destinataire avait lié ses comptes à ceux d’une autre banque. Et dans les deux cas, les destinataires ont répondu qu’ils n’avaient pas autorisé le couplage.
En réponse aux questions de BreachTrace, Fiserv a reconnu avoir inclus par inadvertance des références à defaultinstitution.com comme espace réservé dans les solutions logicielles utilisées par certains partenaires.
« Nous avons identifié 5 clients pour lesquels les e-mails générés automatiquement à leurs clients incluaient le nom de domaine »defaultinstitution.com » dans l’adresse de « réponse à », a déclaré Fiserv dans une déclaration écrite. « Cette URL d’espace réservé a été laissée inchangée par inadvertance lors de la mise en œuvre de ces solutions. Après avoir été mis au courant de la situation, nous avons immédiatement effectué une analyse pour localiser et remplacer les instances du nom de domaine réservé. Nous avons également informé les clients dont les clients ont reçu ces e-mails.
En effet, le dernier e-mail reçu par Vegh remonte au 26 février.
Ce n’est pas la première fois qu’un oubli de Fiserv met en péril la sécurité et la confidentialité de ses clients. En 2018, BreachTrace a révélé comment une faiblesse de programmation dans une plate-forme logicielle vendue à des centaines de banques a exposé les données personnelles et financières d’innombrables clients. Fiserv a ensuite été poursuivi à ce sujet par un client d’une coopérative de crédit; ce procès est toujours en cours.
Vegh a déclaré avoir trouvé une erreur de domaine similaire alors qu’il travaillait comme entrepreneur à la Federal Reserve Bank de Philadelphie en 2015. Dans ce cas, il a découvert un domaine non enregistré invoqué par AirWatchun produit de gestion des appareils mobiles acquis depuis par VMWare.
« Après avoir enregistré ce domaine, j’ai commencé à recevoir du trafic du monde entier à partir des appareils de l’entreprise Fortune 500 qui envoient un ping au domaine », a déclaré Vegh.
Vegh a déclaré qu’il prévoyait de donner à Fiserv le contrôle de defaultinstitution.com et de remettre les messages interceptés par sa boîte de réception. Il ne demande pas grand-chose en retour.
« On m’avait alors promis un t-shirt et une caisse de bière pour mes efforts, mais hélas, je n’en ai jamais reçu », a-t-il déclaré à propos de son interaction avec AirWatch. « Cette fois, j’espère recevoir un t-shirt ! »
Mise à jour, 12 h 44 HE : Le paragraphe principal a été mis à jour pour refléter les revenus de Fiserv en 2020, qui ont été près de 15 milliards de dollars.