Rappi Fallas graves en la seguridad de tarjetas de crédito y credenciales

stiven_perez

Lanero Regular
24 Oct 2018
3
Qué tal ?? lo de este enlace

En esta entrada describimos unas fallas muy graves que reportamos a Rappi y que pudieron permitir obtener datos personales de sus clientes en varios países, así como datos parciales de sus tarjetas de crédito e identificadores (tokens) en el sistema de almacenamiento. También encontramos errores en el código de inicio de sesiones (login). Es probable que estas fallas pudieran ser usadas para asociar las tarjetas de crédito almacenadas con cuentas de terceros y proceder a realizar cargos no autorizados tal como se observa en varios reportes en las redes sociales. Este reporte no constituye una auditoría sino un ejercicio limitado que sin embargo encontró errores graves.

Tiempo de solución de las fallas: 61 días.
 
Me sorprende la poca acogida que tuvo esta noticia en los foros del sitio, es supremamente grave lo que allí exponen y sobre todo que el fallo estuvo siendo explotado "in the wild" durante un tiempo pues hay denuncias de cargos injustificados a usuarios en sus tarjetas de crédito.

Es natural que todo software tenga fallas, pero el caso de Rappi es excepcional pues los tokens de acceso al servicio de transacciones seguras estaban cargados en el javascript de la página!! era increible, basicamente como para una clase de Universidad con lo que NO se tiene que hacer al procesar pagos.
 
Hola, las fallas de seguridad rappi permitieron obtener datos personales de sus clientes, datos parciales de tarjetas de crédito e identificadores almacenados. Quienes usaron estos datos, consiguieron asociar tarjetas de crédito con cuentas de terceros almacenadas por Rappi y realizar cargos (gastos) no autorizados es por ello que no es muy recomendado ya que no cuenta con la seguridad que necesitamos.

Saludos desde Cadiz. ;)
 
Hola, las fallas de seguridad rappi permitieron obtener datos personales de sus clientes, datos parciales de tarjetas de crédito e identificadores almacenados. Quienes usaron estos datos, consiguieron asociar tarjetas de crédito con cuentas de terceros almacenadas por Rappi y realizar cargos (gastos) no autorizados es por ello que no es muy recomendado ya que no cuenta con la seguridad que necesitamos.

Saludos desde Cadiz. ;)
La seguridad que necesitan quién ? No entendí su post. Muchas gracias
 
La seguridad que necesitan quién ? No entendí su post. Muchas gracias

Hombre pues que necesita cualquier persona que les entrega la información de su tarjeta de crédito ¿cómo se puede explicar que no aseguren las credenciales de sus pasarelas de pago?

Creo que el problema nisiquiera es ético, sino de competencia de los programadores para desarrollar la app ¿acaso Rappi es un emprendimiento de colegio?
 
  • Me gusta
Reacciones: juanitapregunta
Hombre pues que necesita cualquier persona que les entrega la información de su tarjeta de crédito ¿cómo se puede explicar que no aseguren las credenciales de sus pasarelas de pago?

Creo que el problema nisiquiera es ético, sino de competencia de los programadores para desarrollar la app ¿acaso Rappi es un emprendimiento de colegio?

no, pero pagan como tal :whistle:
 
  • Me gusta
Reacciones: osan77