Equifax Argentina usaba usuario y contraseña “admin” en su portal

por

1348 posts

Desde la aplicación llamada Veraz podían visualizarse datos de empleados y de clientes argentinos, todo en texto plano.

Continúan surgiendo malas noticias con respecto al hackeo del que fue víctima Equifax el jueves pasado, una empresa financiera dedicada a mantener los registros de los consumidores para que los negocios puedan saber qué tan riesgoso es otorgarles un crédito o extenderles nuevas líneas.

Oficialmente se había confirmado que la filtración de datos afectó a clientes de Canadá y el Reino Unido, pero en realidad no serían los únicos países afectados por este incidente sin precedentes. Chile, Ecuador, Paraguay, Peru, Uruguay, Brasil y Argentina estarían en la lista, lugares donde Equifax lleva a cabo operaciones y tiene clientes.

Precisamente, es Equifax Argentina la que protagoniza un nuevo reporte, después que investigadores de la firma Hold Security descubrieran que el portal que usan para gestionar los reportes de disputas de los clientes de ese país era prácticamente inseguro. Su usuario y contraseña era simplemente “admin”, según reporta Krebs on Security.

(c) Krabs on Security

Los investigadores no tardaron en descubrir la nula seguridad en la aplicación llamada Veraz, accesible para todos y con acceso al registro de más de 100 empleados de Equifax Veraz, desvelando nombres, usuarios y correos, además de permitir la adición, modificación y eliminación de usuarios.

(c) Krabs on Security

En la página para editar la información de los empleados se descubrió que la contraseña de cada uno de ellos estaba conformada por su apellido o por una combinación de sus iniciales y su apellido, ocultada por puntos, pero visible mediante el código fuente de la página. Cualquiera que tuviera conocimiento de esta información habría descubierto lo vulnerable que era la aplicación.

(c) Krabs on Security

Pero esto no es todo, pues desde el portal para empleados de la página web equifax.com.ar se podía acceder a más de 14 mil registros de quejas de clientes contactando a Equifax mediante fax, teléfono o correo electrónico, aproximadamente 715 páginas con información del número de seguridad social y nombres de los mismos, así como detalles de su queja.

(c) Krabs on Security

Alex Holden, fundador de la firma que descubrió esta nueva vulnerabilidad, considera que “esto es sólo negligencia”, porque “en este caso, su aproximación hacia la seguridad era simplemente abismal, y es difícil creer que el resto de sus operaciones sean mucho mejores”.

En cuanto Krebs on Security contactó a Equifax al respecto, los abogados de la compañía dijeron al autor que lo contactarían después que “validaran la queja”. Y así fue: la aplicación Veraz fue deshabilitada, mientras Equifax investiga como es que esto sucedió.