0
0
Nota do Editor: A Dark Reading conseguiu verificar se a questão que Cerrudo encontrou estava presente a partir de 24 de junho, quando criamos uma conta no Veem e confirmamos que as informações pessoais e as informações parciais da conta bancária eram visíveis para qualquer outra pessoa. Também confirmamos que, mesmo depois de excluir a conta, a maioria das informações permaneceu acessível. Entramos em contato com a Veem e eles forneceram este comentário:
“A Veem está comprometida em proteger as informações e os fundos dos clientes e implementou um programa de segurança abrangente que inclui avaliações internas, externas e regulatórias. Nós respondemos ao Sr. Cerrudo, e continuamos a avaliar as informações fornecidas a nós por clientes ou terceiros para garantir que quaisquer problemas levantados a partir dessas fontes sejam incluídos em nosso roteiro, conforme apropriado. Por uma questão de política, não comentamos publicamente as especificidades do nosso programa, exceto para reforçar que levamos nossas obrigações a sério e dedicamos recursos substanciais para fornecer serviços de maneira confiável e segura.”
Ao longo dos anos, fiz centenas de divulgações, e ainda me surpreende como algumas empresas têm práticas de segurança tão ruins e falta de conscientização de segurança.
Esta é uma história de terror de segurança cibernética da Veem, uma empresa fintech bem financiada que claramente falha mal em segurança e privacidade. O que é Veem? De seu site: “Pa Pague facilmente fornecedores e empreiteiros nacional ou internacional em mais de 100 países e seja pago mais rápido com uma solução de pagamentos digitais simples, mas poderosa. Com mais flexibilidade e visibilidade de pagamento, a Veem dá às pequenas empresas o poder de economizar tempo e controlar o fluxo de caixa.”
Tudo isso começou quando eu estava usando o serviço Veem. Era muito bom, barato e fácil de usar. Gostei e recomendei. Mas fiquei preocupado com a abordagem de Veem à segurança.
Primeiro, notei que ele exibia muitas informações sobre os usuários do Veem que não estavam na minha lista de contatos. Mas eu simplesmente ignorei e continuei usando. Então, um dia, não consegui fazer login e fui forçado a alterar minha senha por meio de um e-mail com um link para um formulário. Usei o formulário para alterar minha senha, mas notei algo estranho nesse processo, então deixei o e-mail marcado para dar uma olhada mais tarde.
Depois de alguns dias, lembrei-me do e-mail que salvei e fui dar uma olhada. Cliquei no link e fui apresentado novamente com um formulário para alterar minha senha. Isso foi incomum — o link deveria ter expirado porque eu já havia alterado minha senha e porque muito tempo se passou desde que o link foi enviado para mim. Então, ao examinar o link, percebi que ele foi enviado usando o complemento Mailchimp Mandrill. Isso significava que esta plataforma, um serviço de marketing e automação de e-mail de terceiros, teve acesso para alterar minha senha por muitos dias, já que tinha o link salvo em seus sistemas. Esta é uma prática de segurança muito ruim que qualquer verificação de segurança mínima deveria ter identificado. Comecei a acreditar que os sistemas da Veem não haviam sido testados quanto à segurança.
Depois que encontrei esse problema de segurança de alteração de senha, fiquei um pouco preocupado com a segurança geral da Veem. É uma solução de fintech que permite que os usuários enviem e recebam pagamentos, por isso lida com muito dinheiro de seus usuários, incluindo eu. Decidi dar uma olhada mais profunda em algumas funcionalidades que pareciam estranhas para mim, mas que eu tinha ignorado anteriormente. Entrei, acessei essa funcionalidade e, para minha surpresa, descobri que eles estavam vazando todas as informações pessoais dos usuários, como nome completo, endereço, cidade, estado, país, e-mail, número de telefone, data de nascimento, nome do banco, tipo de conta e os últimos quatro dígitos do número da conta bancária. Eu não podia acreditar no que estava vendo — qualquer um poderia acessar facilmente as informações pessoais de qualquer usuário do Veem.
Eu tive que relatar rapidamente essas questões — especialmente a última, que foi muito crítica. Depois que recebi ajuda para encontrar o e-mail de contato correto, em 29 de março de 2022, enviei um e-mail para cybersecurity@veem.com detalhando os problemas. Eu estava esperando por uma resposta rápida, mas não. Em 2 de abril, enviei um e-mail novamente e, depois de dois dias, ainda não recebi resposta. Eu estava ficando preocupado, já que quando você relata um problema tão crítico, você deve receber uma resposta instantânea. Cada dia que passa significa que alguém tem outra chance de explorar o problema.
Pensando em como obter uma resposta, tive uma ideia interessante: que tal usar o problema de segurança para descobrir informações sobre os executivos da Veem? Então eu recebi as informações do CEO da Veem — todas as informações dele, mas eu realmente só precisava do endereço de e-mail. Eu não achei que chamá-lo a frio seria uma boa ideia, e não, não vou doxá-lo aqui. 🙂
Divulgação Inicial
Em 4 de abril, enviei um e-mail para o CEO:
Oi, enviei isso (encaminhai o e-mail anterior enviado para cybersecurity@veem.com) há quase uma semana e não tive nenhuma resposta.
Há pelo menos um problema sério que vaza informações pessoais dos usuários, como nome completo, e-mail, data de nascimento, endereço, número de telefone, nome do banco do usuário, conta bancária, últimos 4 números, etc.
Peça para sua equipe de segurança dar uma olhada e responder o mais rápido possível.
Obrigado.
Cesar Cerrudo
Diretor de Pesquisa
Greve
Mais tarde naquele dia, recebi o seguinte de cybersecurity@veem.com:
Olá Cesar,
Quero agradecer por entrar em contato conosco de forma proativa sobre as vulnerabilidades que você encontrou em nosso aplicativo da web. Infelizmente, não temos um programa de recompensa de bugs ou uma recompensa financeira neste momento e também não há exceções para recompensas únicas.
Enquanto isso, esperamos que você continue aproveitando a rede Veem para seus pagamentos e nos mantenha informados sobre qualquer feedback futuro que possa ter que o torne melhor e mais seguro para todos os nossos clientes.
Obrigado pelo seu tempo e compreensão.
Atenciosamente,
Equipe de Segurança Cibernética
Como você pode ver, eles claramente não perceberam a criticidade do problema e pensaram que eu estava apenas procurando alguma recompensa. Eu tive que explicar (sendo o CEO por precaução):
Oi
Não estou procurando nenhuma recompensa, só quero que você dê uma olhada nos problemas e os corrija o mais rápido possível, uma vez que eles sejam corrigidos, informe seus usuários sobre isso. Enquanto isso, também forneça feedback.
Para uma instituição financeira, é muito sério vazar informações dos clientes.
Aliás, estou copiando seu CEO para que ele esteja ciente disso, recebi suas informações pessoais da plataforma Veem.
Cesar Cerrudo
Diretor de Pesquisa
Greve
Então, depois de dois dias, eles responderam:
Olá Cesar,
Obrigado por acompanhar.
A propósito de suas descobertas, já estamos rastreando as duas lacunas relacionadas ao vazamento de informações em nosso registro de risco. Essas lacunas existem para suportar recursos de outra forma desejáveis – mudar seu design para eliminar essa via de exfiltração de dados está, no nosso roteiro de produtos. No entanto, como essa lógica existe para suportar recursos que nossos clientes esperam que funcionem, não há uma solução rápida ou fácil disponível. Reconhecemos que isso é uma lacuna e estamos planejando um redesenho apropriado – priorizando a segurança e a privacidade, ao mesmo tempo em que mantemos partes essenciais da jornada do usuário e da experiência do cliente do nosso produto.
Em relação aos links de redefinição de senha, você levanta uma preocupação totalmente válida em relação à expiração do link. Agendamos uma correção para lançamento em um próximo ciclo de sprint.
Mais uma vez, obrigado por sua divulgação proativa e por nos ajudar a melhorar a segurança e a privacidade da nossa plataforma.
Obrigado,
Equipe de segurança da Veem
Priorize a Segurança
Legal, então eles estão corrigindo o problema de redefinição de senha, mas o vazamento de informações pessoais é um recurso que eles não podem corrigir facilmente? Como eles estão “priorizando a segurança e a privacidade”? Bem-vindo à década de 2020, onde as fintechs priorizam a funcionalidade em vez de segurança e privacidade.
Neste ponto, ficou claro para mim que esta era uma empresa muito imatura em termos de segurança cibernética e privacidade, então eu teria que lidar com isso da melhor maneira possível e me esforçar mais para fazê-los entender os problemas, colaborar e agir rapidamente. Eu respondi:
Oi
Obrigado por voltar com mais detalhes.
Eu entendo completamente seus desafios e ponto de vista. O que eu gostaria é ter mais visibilidade sobre isso, então eu gostaria de obter algumas informações sobre a linha do tempo, como quando você planeja começar a trabalhar nas correções e quando elas estarão prontas. Como você deve saber, quando as vulnerabilidades são relatadas é chamado de divulgação responsável/coordenada, requer colaboração de ambos os lados e há um período de espera limitado para que os problemas sejam corrigidos. Não podemos esperar para sempre, retendo as informações de vulnerabilidade que temos que afetam vários milhares de seus usuários, se você não consertar isso em um curto período de tempo, precisamos tornar público e informar as pessoas sobre os problemas. Se você não está familiarizado com a divulgação responsável/coordenada, dê uma olhada para entender essas práticas comuns de segurança cibernética.
Estou aberto para uma ligação rápida, se você quiser, para que possamos estar na mesma página nisso.
Obrigado.
Cesar Cerrudo
Diretor de Pesquisa
Greve
Doze dias após o envio do e-mail acima, eu ainda não tinha nenhuma resposta, então pedi notícias. No dia seguinte, eles responderam:
Olá Cesar,
Estamos abordando ativamente essas descobertas.
Tenha certeza de que levamos isso a sério e que a segurança e a privacidade do cliente estão no topo de nossas prioridades.
Obrigado
Equipe de Segurança Veem
Eu não estava feliz com a resposta. Esse atraso e falta de comunicação não refletem levar a segurança e a privacidade a sério.
NDA Esboçado
De qualquer forma, esperei alguns dias para ver se eles me retornariam novamente com mais atualizações — mas, não, tive que enviá-los por e-mail novamente:
Oi
Sinto muito, mas parece que você não está entendendo o quão grave é o problema e como gerenciá-lo. Por favor, vamos ligar com urgência e fazer com que algum tomador de decisão participe. Estou disponível na maioria dos dias das 13:30 às 15:00 ET
Obrigado.
Cesar Cerrudo
Diretor de Pesquisa
Greve
No mesmo dia, eles responderam:
Oi Cesar,
Gostaríamos de enviar nosso relatório SOC2 e configurar uma discussão, mas precisamos colocar um NDA em vigor para fazê-lo. Nosso CSO propõe que nos conectemos às 14:15 EST em 5 de maio de 2022 para responder às perguntas que você possa ter. Aqui está o link para o nosso eNDA http://bit.ly/VeemNDA
Equipe de Segurança Veem
Isso foi estranho — por que eles mencionaram o relatório SOC2? Eles queriam me mostrar que estavam em conformidade? Mas eles eram? Além disso, isso foi em 25 de abril, e eles queriam ter uma ligação em duas semanas — mais de um mês desde que enviei o relatório inicial — tão claramente que eles não sentiram nenhuma urgência.
Além disso, eles queriam que eu assinasse um acordo de não divulgação (NDA). Isso foi uma indicação de cooperação suspeita, na minha experiência; quando uma empresa que lida com uma divulgação traz um NDA, é altamente provável que eles queiram manter tudo escondido. Discuti isso com minha equipe no Strike e voltei para Veem no dia seguinte:
Oi
Ok, vamos confirmar a ligação para as 14:15 EST em 5 de maio de 2022. Geralmente não assinamos NDA para isso, então tenho que consultar nosso advogado e entrarei em contato com você o mais rápido possível.
Cesar Cerrudo
Diretor de Pesquisa
Greve
Depois de dar uma olhada no NDA com nosso advogado, identificamos que ele dizia: “avaliar o potencial ou a expansão de uma relação comercial entre as partes…”
Por que eles gostariam que assinássemos um NDA que mencionasse relações comerciais?
Evitando o Problema
Em 28 de abril, eu respondi:
Oi
Depois de avaliar o NDA, ele diz: “avalie o potencial ou a expansão de um relacionamento comercial entre as partes”, o que não faz sentido, já que não estamos falando de nenhum negócio aqui.
Além disso, o NDA deve excluir explicitamente as informações de vulnerabilidade que já compartilhei com você e qualquer comunicação anterior antes da assinatura do NDA. Vejo duas opções, não assinamos o NDA ou o NDA é modificado com minhas solicitações. De qualquer forma, acho que podemos fazer a ligação na próxima semana sem NDA, o importante é falar sobre a situação atual e os planos para corrigi-la.
Obrigado.
Cesar Cerrudo
Diretor de Pesquisa
Greve
Sem surpresa, não tenho resposta. Então, em 4 de maio, um dia antes da chamada acontecer, pedi atualizações:
Oi, vamos receber a ligação amanhã? por favor, envie um convite.
Obrigado.
Cesar Cerrudo
Diretor de Pesquisa
Greve
e mais tarde, no mesmo dia, recebi o seguinte:
Olá Cesar,
Temos o prazer de transmitir que suas preocupações foram abordadas e que nossa plataforma foi atualizada. Como tal, uma reunião não será necessária.
Obrigado por ser nosso valioso cliente.
Sinceramente
Equipe de Segurança Cibernética Veem
Uau, isso foi realmente uma surpresa. Eu não gostei da resposta, mas pensei: “OK, pelo menos eles resolveram os problemas.” Claro que tenho que verificar, então dei uma olhada nos problemas novamente.
O problema de redefinição de senha foi parcialmente corrigido, mas apenas parcialmente porque eles continuam a usar o mesmo serviço de correspondência/marketing. E surpresa, surpresa, surpresa — o principal problema não foi realmente resolvido 🙁
Para o vazamento de informações pessoais, eles removeram apenas a data de nascimento e os últimos quatro dígitos do número da conta bancária. Mas os últimos quatro dígitos do número da conta bancária ainda eram exibidos em outro campo na mesma resposta HTTP, então eles ainda estavam vazando tudo, exceto a data de nascimento. Correções muito ruins.
Em Resumo: Terrível
Depois de muitos esforços e boa vontade do nosso lado, Veem procedeu de maneira muito pouco profissional e não colaborativa, demonstrando falta de segurança e conscientização sobre privacidade. Decidimos que precisávamos ir em frente e publicar isso para que as pessoas soubessem.
O vazamento de informações pessoais pode permitir que os cibercriminosos realizem facilmente vários ataques, como phishing, troca de SIM, etc., resultando em possíveis enormes perdas de dinheiro.
A Veem não notificou seus clientes sobre os problemas. Em vez disso, ele tentou corrigi-los silenciosamente — e falhou.
Os usuários do Veem devem entrar em contato diretamente com a Veem e pedir uma explicação. Enquanto isso, recomendamos que os usuários do Veem definam a configuração da conta de usuário “Listar minhas informações” ou “Listar minha empresa” (dependendo do tipo de conta) como “NÃO” – está definida como “SIM” por padrão. Defini-lo como “NÃO” não impede o vazamento de informações pessoais, mas torna um pouco difícil.
É difícil entender como uma empresa que tem US$ 100 milhões em investimentos não aloca recursos adequados à segurança cibernética e privacidade, especialmente quando lida com o dinheiro dos usuários. Além disso, eu me pergunto se eles estão violando algum regulamento.
Infelizmente, más práticas de segurança e privacidade não são exclusivas da Veem. Muitas empresas de fintech escolhem a velocidade de lançamento de recursos e a ótima experiência do usuário em vez de segurança e privacidade. De um lado, eles querem obter mais clientes e encantá-los, mas, por outro lado, eles não protegem adequadamente os dados e a privacidade de seus clientes. Segurança e privacidade devem ser sempre a principal prioridade, especialmente na fintech.
FONTE: DARK READING