Rappi Fallas graves en la seguridad de tarjetas de crédito y credenciales

stiven_perez

Lanero Novato
Se unió
24 Oct 2018
Mensajes
3
Qué tal ?? lo de este enlace

En esta entrada describimos unas fallas muy graves que reportamos a Rappi y que pudieron permitir obtener datos personales de sus clientes en varios países, así como datos parciales de sus tarjetas de crédito e identificadores (tokens) en el sistema de almacenamiento. También encontramos errores en el código de inicio de sesiones (login). Es probable que estas fallas pudieran ser usadas para asociar las tarjetas de crédito almacenadas con cuentas de terceros y proceder a realizar cargos no autorizados tal como se observa en varios reportes en las redes sociales. Este reporte no constituye una auditoría sino un ejercicio limitado que sin embargo encontró errores graves.

Tiempo de solución de las fallas: 61 días.
 

nomadmzl

Lanero Reconocido
Se unió
21 Mar 2014
Mensajes
263
Me sorprende la poca acogida que tuvo esta noticia en los foros del sitio, es supremamente grave lo que allí exponen y sobre todo que el fallo estuvo siendo explotado "in the wild" durante un tiempo pues hay denuncias de cargos injustificados a usuarios en sus tarjetas de crédito.

Es natural que todo software tenga fallas, pero el caso de Rappi es excepcional pues los tokens de acceso al servicio de transacciones seguras estaban cargados en el javascript de la página!! era increible, basicamente como para una clase de Universidad con lo que NO se tiene que hacer al procesar pagos.
 

dario217

Lanero Novato
Se unió
25 Jun 2019
Mensajes
1
Hola, las fallas de seguridad rappi permitieron obtener datos personales de sus clientes, datos parciales de tarjetas de crédito e identificadores almacenados. Quienes usaron estos datos, consiguieron asociar tarjetas de crédito con cuentas de terceros almacenadas por Rappi y realizar cargos (gastos) no autorizados es por ello que no es muy recomendado ya que no cuenta con la seguridad que necesitamos.

Saludos desde Cadiz. ;)
 

HB_Mosh

Lanero Reconocido
Se unió
12 Jul 2010
Mensajes
1,469
Hola, las fallas de seguridad rappi permitieron obtener datos personales de sus clientes, datos parciales de tarjetas de crédito e identificadores almacenados. Quienes usaron estos datos, consiguieron asociar tarjetas de crédito con cuentas de terceros almacenadas por Rappi y realizar cargos (gastos) no autorizados es por ello que no es muy recomendado ya que no cuenta con la seguridad que necesitamos.

Saludos desde Cadiz. ;)
La seguridad que necesitan quién ? No entendí su post. Muchas gracias
 

nomadmzl

Lanero Reconocido
Se unió
21 Mar 2014
Mensajes
263
La seguridad que necesitan quién ? No entendí su post. Muchas gracias
Hombre pues que necesita cualquier persona que les entrega la información de su tarjeta de crédito ¿cómo se puede explicar que no aseguren las credenciales de sus pasarelas de pago?

Creo que el problema nisiquiera es ético, sino de competencia de los programadores para desarrollar la app ¿acaso Rappi es un emprendimiento de colegio?
 

josd@

Lanero Reconocido
Se unió
14 Mar 2008
Mensajes
3,916
Hombre pues que necesita cualquier persona que les entrega la información de su tarjeta de crédito ¿cómo se puede explicar que no aseguren las credenciales de sus pasarelas de pago?

Creo que el problema nisiquiera es ético, sino de competencia de los programadores para desarrollar la app ¿acaso Rappi es un emprendimiento de colegio?
no, pero pagan como tal :whistle:
 
Arriba