Fiserv vergisst, die als Systemstandard verwendete Domain zu kaufen

Cyber Security News

Der Fintech-Sicherheitsanbieter Fiserv räumt ein, dass er eine nicht registrierte Domain als Standard-E-Mail verwendet hat.

Fiserv, ein Multi-Milliarden-Dollar-Cybersecurity-Tech-Anbieter für Finanzinstitute, hat laut einem Bericht vergessen, die Domain zu kaufen, die als Standard für die E-Mail-Kommunikation ihrer Systeme verwendet wird.

Der Fehler hätte die Benutzerinformationen seiner Kunden jedem offenlegen können, der ein paar Dollar hat, um die Domain zu kaufen – doch bevor das passieren konnte, stieß der Forscher Abraham Vegh im vergangenen November auf den Fehler.

In einem aktuellen Bericht von KrebsOnSecurity erklärte Vegh, dass er eine E-Mail von seiner Bank erhielt, die die Domain defaultinstitution.com enthielt. Er suchte und stellte fest, dass sie nicht registriert war, kaufte sie und verknüpfte sie mit einer E-Mail-Adresse, um zu sehen, was reinkommen würde.

Was Vegh erhielt, berichtete Krebs, waren geprellte Nachrichten von Fiserv-Benutzern, einschließlich des Geldtransferdienstes Cashedge.com, der versuchte, seine Kunden darüber zu informieren, dass sie zu Zelle als primärem Dienst wechseln würden. Diese enthielten E-Mails mit IDs, Überweisungsbeträgen und -daten, den letzten vier Kontostellen des Absenders und der E-Mail-Adresse des Empfängers, erklärte Vegh gegenüber KrebsOnSecurity.

Fiserv Standard-Domäne

Der untere Teil der E-Mails enthielt die folgende Aussage: “Diese E-Mail wurde gesendet an [recipient name here]. Wenn Sie diese E-Mail irrtümlich erhalten haben, senden Sie bitte eine E-Mail an customersupport@defaultinstitution.com”, berichtet Krebs.

“Es scheint, dass die Domain als Standard bereitgestellt wird und die IT-Abteilungen der Kundenbanken entweder davon ausgehen, dass sie sie nicht ändern müssen, oder sich nicht bewusst sind, dass sie es könnten/sollten”, sagte Vegh zu Krebs.

Der Fiserv-Kunde Netspend.com, Anbieter von Prepaid-Debitkarten, tauchte ebenfalls in Veghs “defaultinsitution”-Posteingang auf, zusammen mit der TCF National Bank, der Union Bank und anderen, gefüllt mit persönlichen Benutzerinformationen.

Kurz darauf, am 26. Februar, sagte Krebs, dass Vegh die “defaultinstitution”-E-Mails stoppte.

Fiserv räumt Fehler ein

Fiserv hat den Vorfall in einer Erklärung gegenüber Threatpost bestätigt.

“Nachdem wir auf die Situation aufmerksam gemacht wurden, haben wir sofort eine Analyse durchgeführt, um Instanzen des Platzhalter-Domainnamens zu lokalisieren und zu ersetzen”, heißt es in der Erklärung. “Wir haben auch die Kunden benachrichtigt, deren Kunden diese E-Mails erhalten haben.”

Fiserv sagte, dass es inzwischen die Standarddomain gekauft hat, die E-Mails erhalten hat und daran arbeitet, die betroffenen Benutzer zu benachrichtigen.

“Wir werden keine Platzhalter-Domainnamen mehr verwenden, die Domains enthalten, die nicht im Besitz von Fiserv sind”, heißt es in der Erklärung weiter.

Dirk Schrader, Global Vice President bei New Net Technologies, erklärte gegenüber Threatpost, dass die offengelegten Daten für Social-Engineering-Betrügereien zur Kompromittierung von Geschäfts-E-Mails verwendet werden könnten.

“Fiserv hat es bei einer grundlegenden Cybersicherheitsanforderung für Finanzinstitute vermasselt”, so Schrader. “Die Verwendung einer unregistrierten Domain öffnet die Tür für Phishing und eine Menge anderer Angriffsvektoren. Irgendjemand bei Fiserv muss gedacht haben, dass ‘defaultinstitution’ selbsterklärend ist und jeder diesen Eintrag ändern wird, also hat das Unternehmen es dem reinen Glück überlassen.”

Schrader fügte hinzu, dass Fintech-Unternehmen die Kommunikation vollständig kontrollieren und absichern müssen: “Dies war eine weit geöffnete Tür für ein Desaster und finanzielle Verluste für die Kunden von Fiserv.”

Cyberattacken ‘unwahrscheinlich’ durch Domainfehler

Standardeinstellungen und -konfigurationen sind laut Ivan Righi, einem Analysten von Digital Shadows, oft ein gutes Jagdrevier für Bedrohungsakteure.

“Cyberkriminelle nutzen häufig Standardpasswörter, um sich Zugang zu Zielkonten und -diensten zu verschaffen”, so Righi gegenüber Threatpost. “In diesem Fall hat das Unternehmen eine Standard-Domain als Platzhalter in seinen Software-Lösungen verwendet. Da ein Forscher die Sicherheitslücke entdeckt hat, ist es zum Glück unwahrscheinlich, dass der Vorfall zu Cyberangriffen auf Kunden führt.”

Vegh seinerseits sagte Krebs, er sei glücklich, die Domain an Fiserv zu übergeben, fügte aber hinzu, vielleicht wäre ein T-Shirt ein angemessener Preis für den Fehlerbericht.

“Insgesamt bin ich mit dem Ergebnis hier zufrieden”, sagte Vegh gegenüber Threatpost. “Ich denke, dass Fiserv daraus gelernt hat, und ich hoffe, dass andere große und kleine Unternehmen diese einfachste aller Lektionen lernen können: Kontrollieren Sie immer die von Ihnen verwendeten Domain-Namen, auch wenn es ‘nur für Entwicklungszwecke’ ist. Nachdem ich mit Fiserv gesprochen hatte, machten sie mir ein sehr vernünftiges Angebot, die Domain zu kaufen, was weit mehr ist, als ich für meine Bemühungen erwartet hatte, und ich war glücklich, es zu akzeptieren und die Domain an sie zu übertragen und damit die Tür für meine Beteiligung an der Domain zu schließen.”

Einige Teile dieses Artikels stammen aus:
threatpost.com