El minorista en línea The Iconic no ha proporcionado medidas de seguridad básicas para verificar los detalles de pago de sus clientes al realizar un pedido, lo que pone a sus 2,1 millones de clientes en riesgo de ser defraudados, dicen expertos en ciberseguridad.
Puntos clave:
- The Iconic confirmó que no requiere que los clientes verifiquen sus detalles de pago almacenados, incluidos los números CVC, antes de realizar un pedido.
- Un experto en ciberseguridad dice que los clientes deberían autorizar sus datos para evitar ser defraudados
- Se produce después de que las cuentas de algunos clientes se vieran comprometidas, lo que resultó en pedidos fraudulentos por valor de cientos de dólares.
El martes, The Iconic confirmó que había visto un aumento en el acceso a cuentas de clientes por parte de usuarios no autorizados, lo que resultó en pedidos fraudulentos y dejó a algunos clientes miles de dólares de su bolsillo.
El minorista dijo que no había sufrido una violación de datos, pero los clientes afectados habían sido víctimas de un ciberataque conocido como “relleno de credenciales”, donde su dirección de correo electrónico y contraseña utilizadas para su cuenta con The Iconic coinciden con las cuentas de otros sitios web a los que se ha accedido. por piratas informáticos.
Un portavoz de la empresa dijo a ABC que terceros no autorizados que accedan a las cuentas de los clientes no podrían acceder a los datos de sus tarjetas.
Sin embargo, el minorista en línea también confirmó que “se puede realizar” una transacción, ya que no requiere que el cliente verifique sus números CVC (los tres dígitos en el reverso de las tarjetas de débito y crédito) al realizar un pedido si ha guardado sus detalles de pago. a su cuenta.
El profesor Richard Buckland, experto en ciberseguridad de la Universidad de Nueva Gales del Sur, dijo a ABC que el proceso de pago utilizado por The Iconic no es una buena práctica y facilita que los clientes sean defraudados si se violan sus cuentas con el minorista.
“La mejor práctica, desde el punto de vista de la ciberseguridad, es demostrar que la persona realmente está autorizando la transacción en este momento… algo así como la autenticación multifactor, cuando vas a comprar y recibes un mensaje en tu teléfono, y tienes para responder”, dijo.
“Es una buena práctica, no permitir simplemente que algún tipo de información que se recopiló hace años autorice transacciones de forma continua”.
Cuanto más fácil era para los clientes realizar compras en línea, dijo el profesor Buckland, más fácil era que los estafaran.
“Desafortunadamente, cualquier cosa que te permita comprar algo fácilmente con la menor cantidad de clics y pasos posibles también te hace más vulnerable a ser estafado o que te roben tus datos, porque también hace que sea más fácil para el malo comprar algo”. él dijo.
“Cada pequeña fricción en el camino, cada pequeña burocracia te protege, pero también te frena.
“A ninguna organización le interesa que le resulte difícil comprar algo, les gusta que sea lo más fácil posible.
“Cuanto más fácil sea para ti, más señal de alerta será”.
En respuesta a preguntas sobre sus medidas de ciberseguridad, un portavoz de The Iconic le dijo a ABC que la empresa no guarda los datos de las tarjetas en sus sistemas.
“Esta información se almacena en procesadores de pagos de terceros”, dijo un portavoz en un comunicado.
El minorista en línea se asoció con Stripe en 2021 para proporcionar su infraestructura de pago.
En ese momento, la jefa de crecimiento de la sucursal de Stripe en Australia y Nueva Zelanda, Hayley Hopwood, dijo que la asociación “permite a The Iconic capturar más ingresos al reducir el abandono de transacciones“.
ABC se puso en contacto con Stripe con una lista de preguntas sobre sus opciones de seguridad de pago para sus clientes, incluida la verificación CVC.
Un portavoz de Stripe dijo que la empresa no comenta públicamente sobre usuarios individuales por motivos de privacidad.
Al exigir la verificación CVC antes de realizar compras, el profesor Buckland dijo que permite a los bancos estar al tanto de transacciones potencialmente fraudulentas después de un número determinado de intentos incorrectos, similar a cómo un cajero automático “traga” una tarjeta de débito o crédito después de demasiados intentos de PIN incorrectos.
Sin embargo, dijo que eso conlleva sus propios problemas potenciales de seguridad.
“Es una gran defensa, pero lamentablemente [CVC numbers] pueden ser robados desde adentro”, dijo.
“Si se le solicita que lo ingrese durante el proceso de compra, se puede verificar. El problema es que el malware en su sistema puede capturarlo, por lo que los delincuentes también pueden obtener su CVC.
“[The] mejores prácticas que existen [having] un CVC dinámico que cambia todos los días o cada dos horas, incluso si ha sido robado, solo tienen un período corto en el que se puede usar y no tienes que esperar hasta que tu tarjeta caduque para obtener una nueva”.
‘Previsible’ y ‘fácilmente prevenible’
El Consumer Action Law Centre, un grupo de defensa del consumidor, dijo que los problemas de transacciones fraudulentas que algunos clientes de The Iconic han experimentado podrían haberse evitado.
“Los recientes fraudes que involucran a The Iconic muestran los riesgos de los pagos ‘sin fricciones’ y las fallas en la seguridad de los datos, lo que resulta en que los delincuentes roben fácilmente a los clientes en línea”, dijo Rose Bruce-Smith, responsable de políticas del centro.
“Este tipo de fraude es previsible y fácilmente evitable mediante mejores medidas de seguridad de los datos por parte de las empresas online.
“En un entorno donde el fraude, las estafas y las pérdidas por estafas aumentan cada día, necesitamos que las empresas y las instituciones financieras hagan más para proteger los datos, la privacidad y el dinero de los consumidores.
“Los consumidores deben revisar sus cuentas en busca de cargos no autorizados e informarlos a su banco; a diferencia de una estafa, este tipo de fraude debe ser reembolsable mediante un cargo bancario o por parte de The Iconic”.
The Iconic no ha revelado cuántos de sus clientes se han visto afectados ni cuándo se dio cuenta de los problemas por primera vez.
Un portavoz del minorista dijo que la investigación sobre el asunto está en curso y que se notificará a los clientes cuyas cuentas hayan sido violadas.
El martes, The Iconic se comprometió a reembolsar a aquellos que hayan realizado compras fraudulentas utilizando su información de pago.
La compañía también ha enviado correos electrónicos de manera proactiva a los clientes animándolos a cambiar sus contraseñas periódicamente para garantizar que su cuenta permanezca segura.
Cargando…
Si no puede cargar el formulario, haga clic en aquí.
2024-01-11 06:58:35
#Clientes #Iconic #riesgo #ser #defraudados #por #falta #medidas #verificación #pagos,
Leave a Reply