Nhà nghiên cứu an ninh Kristian Erik Hermansen đã liên lạc với KrebsonSecurity hai tuần trước đây để báo cáo “đã phát hiện ra vấn đề khi đăng nhập vào tài khoản tại một ngân hàng địa phương sử dụng nền tảng của Fiserv.” Ngay sau đó, KrebsonSecurity liên lạc với Fiserv, giải thích rằng đã có một vấn đề trong “phương pháp nhắn tin có sẵn cho một bộ phận khách hàng trực tuyến của các ngân hàng.”
Fiserv từ chối cho biết chính xác có bao nhiêu tổ chức tài chính có thể đã bị ảnh hưởng bởi lỗ hổng trang web Fisery, nhưng hiện nay có khoảng 1.700 ngân hàng đang sử dụng nền tảng ngân hàng này.
Fiserv là một nhà cung cấp dịch vụ tài chính quan trọng cho các ngân hàng trên khắp thế giới. “Một vụ lộ lọt thông tin hoặc rò rỉ dữ liệu như lỗ hổng trang Fiserv lần này có thể tác động rất lớn không chỉ tới hệ thống tài chính ở Hoa Kỳ mà là trên toàn cầu.” ông Jake Olcott, Phó giám đốc Quan hệ đối tác chiến lược tại BitSight Technologies cho biết.“Fiserv ưu tiên cao về bảo mật, và chúng tôi đã xử lí vấn đề theo ưu tiên đó”, người đại diện của Fiserv cho biết sau khi xảy ra lỗ hổng trang web Fiserv.
“Sau khi nhận được email về lỗ hổng trang web Fiserv của bạn, chúng tôi nhanh chóng điều động nguồn lực thích hợp và làm việc để nghiên cứu và giảm thiểu hậu quả. Chúng tôi đã phát triển một bản vá bảo mật trong vòng 24 giờ sau khi nhận được thông báo và triển khai tới những khách hàng sử dụng phiên bản lưu trữ. Còn khách hàng sử dụng phiên bản in-house sẽ nhận được bản vá vào tối nay.”
“Hàng trăm ngân hàng đã bị ảnh hưởng bởi lỗ hổng trang web Fiserv lần này, từ đó đặt ra nhu cầu cấp thiết cho các công ty dịch vụ tài chính cần theo dõi chặt chẽ các nhà cung cấp bên thứ ba có quyền truy cập vào dữ liệu và thông tin khách hàng của họ.”
“Ở cấp độ cao hơn, các công ty dịch vụ tài chính cần đảm bảo liên tục cập nhật với các nhà cung cấp về các nỗ lực và quy trình bảo mật cho trang web của họ. Thúc đẩy sự hợp tác xây dựng bảo mật có thể giúp các doanh nghiệp và các nhà cung cấp dịch vụ cùng nhau chống lại rò rỉ thông tin và lộ lọt dữ liệu.”
Infosec Mag
