Fiserv是一家為金融機構提供數十億美元資產的網路安全技術提供商,但卻忘記了購買其系統電子郵件通訊中的預設域名(@xxx。com)。
這個錯誤可能使向其客戶傳送的使用者私密資訊暴露給任何願意花幾美元購買該域名的人,
但是,在此之前,安全研究員亞伯拉罕·維格(Abraham Vegh)去年11月發現了這個可怕的漏洞。
Vegh在安全報告中解釋說,他當時從銀行收到了一封電子郵件,其中包括域名defaultinstitution。com。他檢索後發現該域名居然尚未註冊,他隨即將其購買並將其連結到一個電子郵件地址,看看有什麼“收穫”。
果不其然,Vegh收到了來自Fiserv使用者的郵件,其中包括匯款服務Cashedge。com,該網站試圖告知其客戶,他們已將Zelle作為其主要服務。Vegh解釋說,這些電子郵件包括ID、轉賬金額和日期、發件人的後四個賬戶數字和收件人的電子郵件地址。
Vegh透露:“未註冊的域名似乎是預設提供的,Fiserv的銀行客戶的IT部門要麼假設他們不需要更改它,要麼不知道他們可以/應該這樣做。”
Fiserv另外一個客戶Netspend。com(預付費借記卡提供商)也出現在Vegh的“預設位置”收件箱中,還有TCF國家銀行、聯合銀行和其他留有個人使用者資訊的收件箱中。
此後不久,即2月26日,Vegh關閉了“defaultinstitution”電子郵件。
據Threatpost報道,Fiserv在宣告中承認了這一事件。
宣告說:“在得知情況後,我們立即進行了分析,以查詢和替換佔位符域名的例項。”“我們還通知了有關客戶。”
Fiserv表示,已經購買了預設域名,獲取了電子郵件,並正在努力通知受影響的使用者。
宣告補充說:“我們將不再使用非Fiserv擁有的域的佔位符域名。”
New Net Technologies全球副總裁Dirk Schrader指出,暴露的資料可能已用於社交工程企業電子郵件洩露型別的騙局中。
Schrader說:“Fiserv嚴重違反了金融機構的基本網路安全要求。“使用未註冊的域名為網路釣魚和其他許多攻擊媒介打開了大門。”
Schrader補充說,金融科技公司需要完全控制和保護通訊,並補充說:“這對於Fiserv客戶意味著巨大的災難和財務損失風險。”
