Rappi negligente con la seguridad electrónica

0

Además de lucrarse del trabajo informal, la empresa Colombiana que se encuentra exportando su negocio resultó tremendamente negligente con la seguridad informática de los datos de sus usuarios

Expertos detectaron y reportaron este año fallas de seguridad en la reconocida aplicación Rappi, las cuales aparentemente ocurrieron entre finales del año 2016 y el pasado mes de octubre. Aún cuando los denunciantes ya habían avisado a los propietarios de la aplicación, las fallas no se corrigieron sino hasta pasados dos meses desde el reporte.

Aquellas fallas permitieron obtener datos personales de sus clientes, datos parciales de tarjetas de crédito e identificadores (tokens) almacenados. Quienes usaron estos datos, consiguieron asociar tarjetas de crédito con cuentas de terceros almacenadas por Rappi y realizar cargos (gastos) no autorizados. Así lo denunciaron varios usuarios afectados, quienes describieron en redes sociales cómo encontraron en sus extractos compras no realizadas por ellos(as).

La falla consistió en que Rappi no siguió los protocolos recomendados para procesar, almacenar, o para presentar un formulario de recolección de datos para tarjetas de crédito. Al no seguir ningún protocolo de seguridad, incluyeron en el código fuente de la página web del comercio que es público, las credenciales de acceso al procesador de pagos. De esta manera, un atacante podía acceder al compartimento seguro del procesador y obtener los datos de las tarjetas, los tokens asociados, y realizar operaciones sobre estas. Y también asociar estos datos a la cuenta de un tercero en Rappi, de forma que cada vez que el tercero realizaba una compra, era a cargo de otras tarjetas de crédito.

Un procesador de pagos es un servicio que se encarga de realizar operaciones de cargo y reembolso de tarjetas de crédito. Generalmente es contratado por los comercios para estas actividades, de tal forma que estos no tienen que certificarse en protocolos de seguridad. El comercio presenta el formulario del procesador y obtiene de este un token por tarjeta de crédito, el cual debe almacenar en sus bases de datos y asociar a una cuenta de usuario. Así el comercio solo usa las credenciales secretas de acceso al compartimento seguro del procesador y el token por cada operación, y no almacena los datos de las tarjetas de crédito.

Se conoce que Rappi contrató los servicios del procesador de pagos Spreedly. Pero como vimos, enviaba a Spreedly las credenciales secretas desde el navegador web de manera pública, y según los expertos, usaba un solo compartimento seguro con una sola credencial para todos los países donde opera: Argentina, Colombia, México, Chile y Brasil. Además, solicitaba los datos de tarjetas de crédito con un formulario propio, por lo al estos con su dominio rappi.com por sus servidores en Amazon, se requería elevar los estándares de seguridad. También denunciaron los expertos que en el mismo código web se pueden ver las credenciales privadas de inicio de sesión por Facebook AccountKit, un método de ingresar a la cuenta personal de Rappi.

Según lo anterior, Rappi decidió fungir en parte como procesador de pagos. Y como tal, debe seguir las recomendaciones de la Superintendencia Financiera en la Circular Externa 008 de 2018 que indican que se debe adoptar el estándar PCI DSS (Payment Card Industry Data Security Standard), y obtener esta certificación. Hasta el momento no se conoce que Rappi la tenga. El protocolo indica que, para el caso de Rappi, quienes realizan 10 mil transacciones diarias o 3.65 millones al año, deben realizar una autoevaluación SAQ-D porque tocan, procesan, almacenan y recolectan datos de tarjetas. En función de esto, debe certificarse en el estándar PCI nivel 2.

Rappi tardó 42 días desde el reporte en quitar del archivo JavaScript cargado por el navegador las credenciales en texto plano, y 19 días para cambiarlas en el procesador de pagos. Al día de hoy no se conoce si Rappi obtuvo la certificación PCI nivel 2, información crítica para recuperar la confianza de sus usuarios; perdida en parte también por la conocida protesta realizada por los rappitenderos, quienes denuncian que la aplicación está reduciendo la remuneración reconocida por su trabajo.

Bienvenidas son las iniciativas para crear empresa y en especial tecnológica, pero estas también deben asumir compromisos en materias de seguridad de la información de sus usuarios y de reconocer los derechos laborales de sus trabajadores.

A %d blogueros les gusta esto: