(O artigo foi emendado para conter a declaração abaixo: "A partir de uma ligação com a easyJet que concluiu às 14h05 na quarta-feira, 9 de dezembro, Wandera tem o prazer de dizer que a easyJet confirmou que esta não é mais uma questão em andamento". Tuvey, CEO e co-fundador da Wandera.)

Outra grande falha de segurança foi descoberta e, desta vez, envolve informações financeiras, bem como dados pessoais, com o vazamento dos detalhes do cartão de crédito durante as compras de determinados sites e aplicativos móveis da empresa..

Wandera descobriu essa vulnerabilidade, que denominou CardCrypt, e observou que informações de pagamento não criptografadas estão sendo vazadas dos smartphones quando os usuários estão concluindo transações pela Web para dispositivos móveis ou ao usar aplicativos.

As empresas afetadas incluem os serviços Chiltern Railways e Dash Card no Reino Unido, e a Aer Lingus na Irlanda, junto com a Air Canada, AirAsia e American Taxi para nomear alguns (16 empresas são afetadas no total).

Os dados derramados incluem detalhes completos do cartão de crédito (incluindo o número de segurança CVV no verso, em alguns casos), bem como nomes e endereços de clientes, juntamente com detalhes de contato e detalhes do curso das transações..

Wandera observa que os dados exatos vazando variam de empresa para empresa, dependendo do que a organização exige do cliente para processar a transação, mas em quase todos os casos dados completos de cartão de crédito foram retirados sem criptografia (e informações de passaporte aparentemente detalhadas em um caso) ).

Sim, essa é uma situação muito preocupante, especialmente para os clientes dessas 16 empresas, que somam cerca de meio milhão por dia..

Se você usar uma das empresas, provavelmente não se sentirá confortado ao saber que, nos testes de Wandera, os dados completos do cartão de crédito vazaram sem criptografia..

Falha de HTTPS

Talvez ainda mais preocupante seja a natureza básica dessa vulnerabilidade, pois o vazamento está ocorrendo porque os sites e aplicativos dessas organizações não estão usando HTTPS para criptografar os dados enviados do telefone para a empresa. Em vez disso, os detalhes financeiros confidenciais estão simplesmente sendo transmitidos através de uma conexão HTTP padrão, deixando-os abertos à interceptação e subseqüente uso indevido..

O HTTPS não é um requisito em tais transações? De fato, é estipulado pelo PCI DSS (Padrões de Segurança de Dados do Setor de Cartões de Pagamento) que qualquer informação sensível deve ser criptografada quando transmitida através de redes públicas, por razões óbvias.

Eldar Tuvey, CEO da Wandera, comentou: "Acreditamos que há duas razões prováveis ​​pelas quais o HTTPS não foi usado. Pode ser uma falha na codificação, ou pode ser um caso de depender de serviços ou bibliotecas inadequados de terceiros. De qualquer maneira, é surpreendente para mim que essas empresas não tenham tido o cuidado suficiente na coleta de dados pessoais de seus clientes ”.

Poderia haver outras empresas afetadas pela mesma falha também. Enquanto isso, as firmas acima já foram notificadas deste problema, e estão agindo de forma esperançosa (ou já o tomaram).

  • As 10 principais violações de dados dos últimos 12 meses