Jika Anda menjual perangkat lunak berbasis web untuk hidup dan kode pengiriman yang mereferensikan nama domain yang tidak terdaftar, Anda sedang mencari masalah. Tetapi ketika kesalahan yang sama dibuat oleh sebuah perusahaan yang masuk dalam daftar Fortune 500, hasilnya dapat berkisar dari mahal hingga bencana.
Berikut adalah kisah salah satu kesalahan yang dilakukan oleh Fiserv, sebuah perusahaan senilai $ 15 miliar yang menyediakan perangkat lunak perbankan online dan solusi teknologi lainnya untuk ribuan lembaga keuangan.
Pada November 2020, KrebsOnSecurity mendengar dari peneliti keamanan Abraham Vegh, yang melihat sesuatu yang aneh saat memeriksa email dari lembaga keuangannya.
Vegh dapat melihat pesan dari banknya merujuk ke domain yang aneh: defaultinstitution[.]com. Pencarian cepat dari catatan pendaftaran WHOIS menunjukkan bahwa domain tersebut tidak terdaftar. Bertanya-tanya apakah dia mungkin dapat menerima komunikasi email ke alamat itu jika dia mendaftarkan domain tersebut, Vegh mengambilnya dengan beberapa dolar, membuat akun email penampung semua untuk itu, dan menunggu.
Banyak email lain yang masuk, termasuk banyak pesan “terpental” yang dikirimkan sebagai balasan atas missives dari Cashedge.com, layanan transfer uang yang diambil alih Fiserv pada tahun 2011.
Hebatnya, di bagian bawah setiap pesan ke pelanggan CashEdge/Popmoney ada teks boilerplate: “Email ini telah dikirim ke [nama penerima di sini]. Jika Anda telah menerima email ini karena kesalahan, silakan kirim email ke customersupport@defaultinstitution[.]com.”
Layanan lain yang mengarahkan pelanggan untuk membalas ke domain peneliti termasuk pelanggan Fiserv Netspend.com, penyedia kartu debit prabayar terkemuka yang tidak memerlukan saldo minimum atau pemeriksaan kredit.
Setiap pesan menyertakan kode satu kali yang diminta untuk dimasukkan oleh penerima di situs web perusahaan. Namun dari membaca banyak balasan untuk missives ini, tampaknya Netspend tidak terlalu memperjelas di mana pengguna seharusnya memasukkan kode ini.
Vegh mengatakan dia berencana untuk memberikan kendali kepada Fiserv atas defaultinstitution[.]com, dan menyerahkan pesan yang dicegat oleh kotak masuknya. Dia tidak meminta banyak balasan.
Selengkapnya: Krebs On Security
