Fiserv, Inc., un important fournisseur de services technologiques aux institutions financières, vient de corriger une faiblesse flagrante de sa plate-forme Web qui exposait les détails personnels et financiers d’innombrables clients sur des centaines de sites Web bancaires, a appris BreachTrace.
Fiserv basé à Brookfield, Wisconsin [NASDAQ:FISV] est une entreprise Fortune 500 avec 24 000 employés et 5,7 milliards de dollars de revenus l’an dernier. Ses systèmes de traitement des comptes et des transactions alimentent les sites Web de centaines d’institutions financières, principalement des petites banques communautaires et des coopératives de crédit. Selon FedFis.comFiserv est de loin le processeur central de la meilleure banqueavec plus de 37 % de part de marché.
Il y a deux semaines, cet auteur a entendu un chercheur en sécurité Kristian Erik Hermansenqui a déclaré avoir découvert quelque chose de curieux en se connectant à un compte dans une petite banque locale qui utilise la plate-forme de Fiserv.
Hermansen s’était inscrit pour recevoir des alertes par e-mail chaque fois qu’une nouvelle transaction était publiée sur son compte, et il a remarqué que le site attribuait à son alerte un « numéro d’événement » spécifique. Partant de l’intuition que ces numéros d’événement pourraient être attribués de manière séquentielle et que d’autres enregistrements pourraient être disponibles en cas de demande directe, Hermansen a demandé à nouveau la même page, mais a d’abord modifié le code du site dans son navigateur afin que son numéro d’événement soit décrémenté d’un chiffre.
En un instant, il pouvait alors visualiser et modifier les alertes précédemment configurées par un autre client de la banque, et voir l’adresse e-mail, le numéro de téléphone et le numéro de compte bancaire complet de ce client.
Hermansen a déclaré qu’un cybercriminel pourrait abuser de cet accès pour énumérer tous les autres comptes avec des alertes d’activité enregistrées, et pour ajouter ou supprimer des numéros de téléphone ou des adresses e-mail afin de recevoir des alertes sur les transactions du compte.
Cela permettrait à n’importe quel client de la banque d’espionner l’activité de transaction quotidienne d’autres clients, et peut-être même de cibler les clients qui se sont inscrits pour des alertes de solde minimum élevé (par exemple, « alertez-moi lorsque le solde disponible passe en dessous de 5 000 $ »).
« Je ne devrais pas être en mesure de voir ces données », a déclaré Hermansen. « Chaque fois que vous dépensez de l’argent, cela devrait être une transaction privée entre vous et votre banque, non disponible pour tout le monde. »
Hermansen a déclaré avoir informé sa banque de ce qu’il avait trouvé et qu’il avait tenté en vain d’attirer l’attention de différents employés de Fiserv, y compris le PDG de l’entreprise via LinkedIn. Mais il n’était pas sûr si la faille qu’il avait trouvée existait dans tous les sites bancaires fonctionnant sur la plate-forme de banque en ligne de Fiserv, ou seulement dans l’installation de sa banque.
Naturellement, BreachTrace a proposé d’aider à comprendre cela et d’attirer l’attention de Fiserv, si nécessaire. Au cours de la semaine dernière, j’ai ouvert des comptes dans deux petites banques locales qui utilisent chacune la plate-forme bancaire en ligne de Fiserv.
Dans les deux cas, j’ai pu reproduire les conclusions d’Hermansen et afficher les adresses e-mail, les numéros de téléphone, les numéros de compte partiels et les détails d’alerte pour les autres clients de chaque banque en modifiant simplement un seul chiffre dans une demande de page Web. J’ai été soulagé de constater que je ne pouvais pas utiliser l’accès à mon compte en ligne dans une banque pour afficher les alertes de transaction que j’avais configurées dans une autre banque affiliée à Fiserv.
Un seul chiffre changé dans une demande de navigateur Web a provoqué l’apparition des alertes de quelqu’un d’autre sur mon compte dans cette petite banque locale de Virginie.
Mais ce n’était pas difficile à trouver des centaines d’autres banques affiliées à Fiserv ce serait tout aussi vulnérable. Si une banque utilise la plate-forme de Fiserv, cela est généralement indiqué quelque part au bas de la page d’accueil de la banque. Un autre avantage est que la plupart des sites bancaires utilisant Fiserv affichent le même nom de domaine racine dans la barre d’adresse du navigateur après la connexion : secureinternetbank.com.
Fiserv a déclaré dans un communiqué que le problème découlait d’un problème avec « une solution de messagerie disponible pour un sous-ensemble de clients bancaires en ligne ». Fiserv a refusé de dire exactement combien d’institutions financières auraient pu être touchées dans l’ensemble. Mais les experts disent à BreachTrace que quelque 1 700 banques utilisent actuellement uniquement la plate-forme bancaire de détail (axée sur le consommateur) de Fiserv.
« Fiserv accorde une grande priorité à la sécurité, et nous avons réagi en conséquence », porte-parole de Fiserv Grotte d’Ann mentionné. « Après avoir reçu votre e-mail, nous avons rapidement engagé les ressources appropriées et travaillé sans relâche pour rechercher et remédier à la situation. Nous avons développé un correctif de sécurité dans les 24 heures suivant la réception de la notification et déployé le correctif pour les clients qui utilisent une version hébergée de la solution. Nous déploierons le correctif ce soir pour les clients qui utilisent une version interne de la solution. »
Cet auteur a confirmé que Fiserv n’affiche plus de numéro d’événement séquentiel sur ses sites bancaires et les a remplacés par une chaîne pseudo-aléatoire.
Julie Conroydirecteur de recherche auprès d’un cabinet d’analyse de marché Groupe Aitéa déclaré que les types de banques qui utilisent principalement la plate-forme de Fiserv sont celles qui n’ont pas les moyens de construire et d’entretenir les leurs.
« Ces institutions financières utilisent un fournisseur de services bancaires de base comme Fiserv parce qu’elles n’ont pas les moyens de le faire par elles-mêmes, alors elles font vraiment confiance à Fiserv pour le faire en leur nom », a déclaré Conroy. « Cela ne se répercutera pas seulement sur la marque de Fiserv, mais cela aura également un impact sur la perception qu’ont les clients de leur petite banque locale, qui a déjà du mal à rivaliser avec les grandes institutions nationales. »
Allen Weinbergassocié et co-fondateur de Glenbrook Partners LLCa déclaré que la capacité des fraudeurs à modifier les alertes de transaction de compte annule quelque peu la valeur de ces alertes pour aider les consommateurs à lutter contre la fraude liée à leurs comptes bancaires en ligne.
« Si un fraudeur peut simplement désactiver les alertes, il y a une protection de moins que les consommateurs pensent avoir », a déclaré Weinberg. « Je pense que les consommateurs comptent en grande partie sur ces alertes pour les aider à détecter les activités frauduleuses. »
Les faiblesses de la plate-forme de Fiserv sont ce que l’on appelle une vulnérabilité de « divulgation d’informations ». Bien qu’ils figurent parmi les types de problèmes de sécurité les plus courants sur les sites Web, ils sont peut-être aussi les plus évitables et les plus faciles à résoudre.
Néanmoins, les failles de divulgation peuvent être tout aussi préjudiciables à la marque d’une entreprise que d’autres types d’erreurs de sécurité plus graves. D’autres incidents de sécurité notables impliquant des problèmes récents de divulgation d’informations incluent une faiblesse sur le site de Panera Bread qui a exposé des dizaines de millions d’enregistrements de clients, et un bogue sur le site du service de protection d’identité LifeLock qui a révélé les adresses e-mail de millions de clients.
Mise à jour, 12h22 HE : Mise à jour du deuxième paragraphe pour inclure un lien vers des informations sur la part de marché n°1 de Fiserv. A également mis à jour l’histoire pour refléter les captures d’écran partagées avec BreachTrace indiquant qu’Hermansen a pu voir les numéros de compte client complets dans la mise en œuvre de la plate-forme Fiserv par sa banque. Les numéros de compte que j’ai vus dans les deux banques de Virginie utilisées dans mes tests ont été tronqués aux quatre derniers chiffres.