Fiserv是一家为金融机构提供数十亿美元资产的网络安全技术提供商,但却忘记了购买其系统电子邮件通信中的默认域名(@xxx.com)。
这个错误可能使向其客户发送的用户私密信息暴露给任何愿意花几美元购买该域名的人,但是,在此之前,安全研究员亚伯拉罕·维格(Abraham Vegh)去年11月发现了这个可怕的漏洞。
Vegh在安全报告中解释说,他当时从银行收到了一封电子邮件,其中包括域名defaultinstitution.com。他检索后发现该域名居然尚未注册,他随即将其购买并将其链接到一个电子邮件地址,看看有什么“收获”。
果不其然,Vegh收到了来自Fiserv用户的邮件,其中包括汇款服务Cashedge.com,该网站试图告知其客户,他们已将Zelle作为其主要服务。Vegh解释说,这些电子邮件包括ID、转账金额和日期、发件人的后四个账户数字和收件人的电子邮件地址。
Vegh透露:“未注册的域名似乎是默认提供的,Fiserv的银行客户的IT部门要么假设他们不需要更改它,要么不知道他们可以/应该这样做。”
Fiserv另外一个客户Netspend.com(预付费借记卡提供商)也出现在Vegh的“默认位置”收件箱中,还有TCF国家银行、联合银行和其他留有个人用户信息的收件箱中。
此后不久,即2月26日,Vegh关闭了“defaultinstitution”电子邮件。
据Threatpost报道,Fiserv在声明中承认了这一事件。
声明说:“在得知情况后,我们立即进行了分析,以查找和替换占位符域名的实例。”“我们还通知了有关客户。”
Fiserv表示,已经购买了默认域名,获取了电子邮件,并正在努力通知受影响的用户。
声明补充说:“我们将不再使用非Fiserv拥有的域的占位符域名。”
New Net Technologies全球副总裁Dirk Schrader指出,暴露的数据可能已用于社交工程企业电子邮件泄露类型的骗局中。
Schrader说:“Fiserv严重违反了金融机构的基本网络安全要求。“使用未注册的域名为网络钓鱼和其他许多攻击媒介打开了大门。”
Schrader补充说,金融科技公司需要完全控制和保护通信,并补充说:“这对于Fiserv客户意味着巨大的灾难和财务损失风险。”