RSS

CENTROS DE CONHECIMENTO

Aplicações de Negócios
Armazenamento
Desenvolvimento de Aplicações
eBusiness
eGovernment
Green computing
Infra-estrutura
IT Management
Knowledge Management
Lifestyle
Mercado de TIC
Networking
Segurança
Wireless
Opinião

EVENTOS

Advanced Hot Topics
Executive Summits
Registo nos eventos

VÍDEOS

World Tech Update
Início arrow Segurança arrow Fraude do Citibank salienta vulnerabilidades em ATM
Fraude do Citibank salienta vulnerabilidades em ATM PDF Imprimir Endereço de e-mail:
Segurança arrow Gestão
14-07-2008 00:00:00
Ataques a sistemas de ATM, como aqueles que no Inverno passado comprometeram dados de cartões de débito do Citibank, acabam por ser frequentes, pois os servidores e muitas componentes do processamento destas transacções são bastante vulneráveis. Quem o afirma são representantes da indústria, que afirmam que incidentes desta natureza ocorrem com mais frequência do que parece, ainda que poucos recebam a atenção mediática que a vulnerabilidade do Citibank. Neste caso, um servidor responsável pelo processamento de levantamentos de dinheiro de caixas ATM do Citibank localizadas em lojas de conveniência em Nova Iorque foi atacado no início do ano. Como consequência desse ataque, foram roubados dados de cartões de débito e códigos PIN, posteriormente utilizados para realizar centenas de levantamentos ilegais de dinheiro em ATM, com perdas de cerca de 480 mil euros para o banco. Imagens das câmaras de vigilância das máquinas ATM conduziram à detenção de três indivíduos. O Citibank confirmou que o ataque obrigou-o a bloquear cartões e a emitir novos para vários clientes, mas afirmou não possuir ou gerir qualquer um dos servidores comprometidos nos incidentes – todos os servidores de ATM localizadas em lojas de conveniência são propriedade da operadora de ATM Cardtronics, também responsável pela sua gestão. Mas os responsáveis da Cardtronics recusaram-se a comentar os ataques, argumentando que a empresa não tem qualquer envolvimento no caso e que, até ao momento, ainda não é claro se algum servidor da Cardtronics foi de facto afectado. Mas a maior parte dos detalhes do incidente tornados públicos têm origem em documentos do tribunal relacionados com as detenções. Estes revelam que o Citibank informou o FBI do caso de fuga de dados em Fevereiro, mas não menciona quantas contas de cartões de débito foram comprometidas – apenas que os atacantes realizaram várias centenas de levantamentos ilegais de dinheiro.
Independentemente do método que foi utilizado no ataque, o incidente veio demonstrar quão vulnerável é a infra-estrutura de ATM. Jim Stickley, CTO da TraceSecurity, afirma que “os utilizadores partem do princípio que os ATM devem ser seguros, e que os bancos tomam todas as precauções necessárias – o que não acontece. Os servidores back-end são incrivelmente inseguros”. Nos testes que a TraceSecurity faz a bancos, ficou demonstrado que os servidores de back-end para ATM não têm todas as actualizações de segurança. E que os servidores responsáveis pelo processamento de transacções ATM não são sempre colocados num segmento separado da rede, mas na mesma rede dos restantes sistemas empresariais. Ou seja: os dados de ATM podem ser vistos, em teoria, por alguém que esteja a aceder e que saiba procurá-los.
 

TEMAS QUENTES

SUBSCREVA A NOSSA NEWSLETTER

     

WHITE PAPERS EM DESTAQUE

WHITE PAPERS - TOP DOWNLOADS

Joomla! is Free Software released under the GNU/GPL License.