• Tweet

El jueves FedEx anuncio que una debilidad en el sistema de la tarjeta de pago usada en los almacenes Kinko no presenta un grave riesgo para la compañía -o algún riesgo para sus clientes.

La declaración viene después de la negativa de la compañía a reconocer el problema de seguridad. Esta semana algunos investigadores de seguridad anunciaron que cualquiera con hardware extra y conocimientos técnicos podría usar el servicio de FedEx gratis e incluso obtener dinero de la compañía.

“Realizamos nuestra evaluación de la reclamación hecha en línea, y no creemos que exista una gran riesgo para la compañía, basados en los controles de seguridad que tenemos en el lugar” comento Maggie Thill un vocero de FedEx. “Lo más importante de esto es que esto no impacta a nuestros clientes.”

Investigadores de la compañía de seguridad Secure Science dijeron que el sistema de pago podría ser hackeado debido a sus limitantes de seguridad. Secure Science mando un correo electrónico a una de las listas más populares el día de ayer.

Los investigadores respondieron a las negativas de FedEx al problema con una imagen y un video en el cual demostraban la brecha de seguridad. En la foto se logra observar la tarjeta de pago con un valor de 313.37 dólares, mientras que FedEx solo permite tarjetas de 100 dólares y en el video se muestra a uno de los investigadores cambiando el número serial de su tarjeta e incrementando el valor.

“El tipo de actividad no es diferente de un robo y no toleraremos acciones ilegales” dijo Thill. “La seguridad es de alta prioridad para FedEx y continuaremos mejorando las medidas de seguridad conforme la tecnología vaya aumentando”

Sin embardo, Hill declino decir si FedEx tomara alguna acción en respuesta al problema del sistema de sus tarjetas de prepago. “No hemos discutido las medidas de seguridad”.

El sistema de pago usa un chip en la tarjeta que puede ser cargado con dinero. Los investigadores encontraron que los datos almacenados en la tarjeta pueden ser escritos libremente una vez que el código de seguridad ha sido encontrado. Ninguno de los datos en la tarjeta incluyendo el código de seguridad está cifrado, afirmaron estos.

Obtener el código de seguridad requiere algo de trabajo. “Soldando alambres a algunos puntos de contacto en la tarjeta y entonces conectando estos alambres a un analizador lógico barato, un intruso podría ver los 3 bytes de código, por lo que la tarjeta ya esta lista para escribir datos en ella.”

Sin embargo, el código de seguridad que aparece puede ser el mismo en todas las tarjetas FedEx de la tienda Kinko, lo cual facilitaría más la labor para realizar fraudes.

“Una vez que el código de 3 bytes es conocido el intruso podría cambiar el valor de la tienda y el numero de serie puede ser cambiado por cualquier valor”. El sistema ExpressPay no parece validar el valor de la tarjeta.”

El sistema FedEx de las tiendas Kinko fue desarrollado por enTrac Technologies, ubicada en Canadá. Un sistema similar puede también ser vulnerado, de acuerdo a Secure Science. Ejecutivos de enTrac no han dado comentarios sobre el problema.

Secure Science sugiere tomar los siguientes pasos para asegurar el sistema de pago: