Avaliando o custo de um ataque DDoS
A Comissão Federal de Comércio dos EUA (FTC) forjou ofertas de liquidação, com um par de empresas acusadas de botching sua criptografia SSL e deixando as pessoas vulneráveis a ladrões de identidade.
De acordo com o cão de guarda, Fandango e Credit Karma não conseguiu implementar salvaguardas básicas ao enviar informações pessoais altamente sensível através da internet a partir de seus aplicativos iOS e Android. Embora o software tentou estabelecer uma ligação segura para enviar os dados, ele afirmou que a autenticidade de certificados SSL das empresas não foram verificados pelo código - o que significa que qualquer um poderia interceptar as transmissões, mascarada como o desenvolvedor do aplicativo, e escutar as transferências, nas circunstâncias certas.
Entende-filme-ticket reserva app Fandango enviou números de cartões bancários e datas de validade, códigos de segurança, códigos postais e senhas por canais criptografados sem validar quem exatamente foi Quentinha os dados.
O programa de verificação de classificação de crédito do Credit Karma semelhante enviou números de segurança social, nomes, datas de nascimento, endereços residenciais, números de telefone, endereços de email e senhas, nomes e saldos de contas bancárias e outros detalhes do registro de crédito.
Tudo o que um tesouro de informações para ladrões de identidade com o know-how para retirar ataques man-in-the-middle. Vampira hotspots Wi-Fi em aeroportos ou cafés, por exemplo, poderia explorar as deficiências na concepção dos apps.
A FTC alega ambas as empresas assegurou clientes que suas informações seriam recolhidos e transmitidos de forma segura.
"Ao substituir o processo de validação padrão, Fandango minou a segurança de compras de passagens feitas por meio de seu aplicativo iOS", o cão de guarda alegou . "Da mesma forma, os aplicativos do Credit Karma para iOS e Android desativado o processo de validação padrão."
A comissão disse Fandango e Credit Karma deve melhorar suas práticas de segurança , e vai submetê-las a auditorias externas em uma base regular ao longo dos próximos 20 anos, as duas empresas devem sobreviver tanto tempo.
Em flagrante do acordo, a FTC disse que espera o acordo de hoje será uma chamada wake-up para os programadores que escrevem software que lida com informações pessoais.
"Os consumidores estão cada vez mais utilizando aplicativos móveis para transações sensíveis. Entanto, a pesquisa sugere que muitas empresas, como o Fandango e Credit Karma, não conseguiram implementar corretamente a criptografia SSL", disse o presidente da FTC Edith Ramirez.
"Nossos casos contra Fandango e Credit Karma deve lembrar os desenvolvedores de aplicativos para a necessidade de fazer a segurança de dados central, a forma como eles projetam seus apps."
Fandango disse que abordou a falha de segurança em questão, e tem melhorado suas práticas desde então. "Em março de 2013, abordamos um possível problema de segurança com os nossos aplicativos iOS", disse a empresa em um comunicado em conserva.
"Não temos conhecimento de todos os clientes que foram afetados e não têm nenhuma evidência de que as informações pessoais de ninguém nunca foi comprometida."
Da mesma forma, o Credit Karma disse que tinha muito tempo que abordou a questão, e estava tomando as recomendações FTC para o coração. "Esta edição foi limitada a aplicações móveis que operam apenas em redes não seguras, e desde então tem sido abordado", disse um porta-voz.
"Não existem indivíduos conhecidos que foram afetados como resultado, ea queixa FTC não cobra nenhum tipo de perda de dados confidenciais."
Felizmente, os assentamentos irá servir como um alerta para outros desenvolvedores móveis; plena implementação SSL não é apenas uma sugestão, é essencial para a salvaguarda da informação crucial dos seus clientes. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário