El escándalo de las tarjetas de crédito Argos empeora

Se han planteado nuevas dudas sobre la seguridad en lí­nea del minorista de la calle principal Argos, después de una investigación de PC Pro.

Ayer, revelamos que Argos estaba enviando números de tarjetas de crédito y códigos de seguridad sin cifrar de los clientes en correos electrónicos de confirmaciónde pedidos, lo que podrí­a exponerlos al fraude en lí­nea.

Ahora ha surgido que esos mismos correos electrónicos de confirmación contienen un enlace web, irónicamente destinado a dirigir a los clientes a la página de seguridad de Argos, que contiene el nombre completo, la dirección y los detalles de la tarjeta de crédito del cliente en la propia URL.

Esta información se enví­a sin cifrar por correo electrónico, por lo que cualquiera que monitoree el tráfico de red pueda ver los datos

Por lo tanto, los clientes que hacen clic en ese enlace web dejarí­an detalles de texto sin formato de sus números de tarjeta de crédito en el historial web de su navegador, lo que podrí­a ser particularmente problemático en PC compartidas o públicas, como las utilizadas por los cibercafés.

También dejarí­a los datos de los clientes almacenados en los registros del servidor que mantienen los empleadores y los ISP, así­ como el propio software de análisis web de Argos, que registra las URL utilizadas para acceder a su sitio web.

La falla fue descubierta por el director de tecnologí­a de Dennis Publishing, Paul Lomax, quien ordenó muebles a Argos en septiembre pasado y le robaron los datos de su tarjeta de crédito unos meses después. El lector de PC Pro Tony Graham, quien nos alertó de los correos electrónicos defectuosos en primer lugar, también tuvo los detalles de su tarjeta robada después de hacer un pedido con Argos, aunque no hay evidencia para vincular a Argos con los robos de tarjetas de crédito.

Quebrantado “espí­ritu de la ley”

Los expertos en seguridad dicen que el sistema de Argos estaba gravemente defectuoso. “Argos dice ‘nos tomamos en serio la seguridad de sus datos’. Parece más bien: ‘No nos tomamos en serio la seguridad de sus datos. Es posible que le enviemos correos electrónicos de vez en cuando con los detalles de su tarjeta de pago”, dijo el experto en seguridad de Sophos Labs, Paul Baccas.

“Enviar esta cantidad de detalles es una mala idea, y se ha implementado mal. Tener la PII [información de identificación personal] y la PCI [información de la tarjeta de pago] de los clientes dentro del correo electrónico, aunque posiblemente no rompa la Ley de Protección de Datos, ha roto el espí­ritu de la ley, y sospecho que al Comisionado de Protección de Datos le gustarí­a ser informado “.

“Esta información se enví­a sin cifrar por correo electrónico, por lo que cualquiera que monitoree el tráfico de red pueda ver los datos. Si el correo electrónico va a una cuenta de correo web o de empresa, esta información será almacenada y accesible para las personas con acceso a esos servidores”, agregó.

“Sabemos que los malos monitorean el tráfico de la red y hackean los servidores web. El malware ya busca en las computadoras correos electrónicos almacenados localmente para obtener PII. Lo veo todos los dí­as en mi lí­nea de trabajo”.

Comentario de Argos

En un comunicado enviado a PC Pro Argos dijo que “se toma muy en serio la seguridad de los datos de sus clientes, es plenamente consciente de los requisitos de la Ley de Protección de Datos y ha tomado medidas correctivas en relación con este asunto.

“Estamos en contacto con la Oficina del Comisionado de Información. Les hemos hecho conscientes de nuestro enfoque de las comunicaciones con los clientes y continuaremos trabajando estrechamente con ellos para asegurarnos de que estamos tomando todas las medidas apropiadas”.

Argos se ha negado a comentar cuántos clientes se han visto afectados o si se habí­a puesto en contacto con los clientes que recibieron los correos electrónicos defectuosos.

Nuestra propia investigación muestra que los correos electrónicos defectuosos se enviaron tan pronto como el pasado mes de septiembre, pero el problema no se solucionó hasta el mes pasado.

El escándalo de las tarjetas de crédito Argos empeora

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll hacia arriba