Travelex usaba Windows 8 Server, con RDP conectado a la web

Tres días después de que el proveedor de divisas Travelex desconectara sus sistemas tras descubrir lo que califica de “virus de software” en la víspera de Año Nuevo, el sitio web de la empresa en el Reino Unido sigue inactivo.

La compañía es el especialista en divisas más grande del mundo, con casi 800 sucursales minoristas en más de 26 países. Es propiedad de Finablr de la India, una compañía de servicios financieros con una gama de marcas de pagos y de divisas. 

Sus socios comerciales, entre los que se encuentran algunos bancos, no han podido ofrecer servicios de divisas en línea a través de Travelex, que provee sus servicios de divisas.

Diversos expertos en seguridad dicen que la compañía, que estaba ejecutando una plataforma de pago en AWS, parece mostrar signos de una pobre segmentación de la red.

Drew Perry, director general de la empresa de seguridad Tiberium, señaló a Computer Business Review: “Su ‘transformación digital’ parece haber cubierto únicamente su dominio http://travelex.com (alojado en AWS utilizando Cloudfront) mientras que su dominio en el Reino Unido permanece caído y está alojado en su propia IP proporcionada por BT, por lo que este servidor debe estar vinculado a la infraestructura interna”. En las últimas horas, el sitio web de la empres en el Reino Unido ha vuelto a estar online. La empresa desinforma directamente al asegurar que el sitio no está disponible debido a mantenimiento programado (ver ilustración).

Aparte de desinformar, Travelex ha proporcionado pocos detalles sobre el incidente, diciendo que el supuesto virus, que no identifica, había “comprometido algunos de sus servicios”. Añadió: “Como medida de precaución para proteger los datos y evitar la propagación del virus, desconectamos inmediatamente todos nuestros sistemas”. La empresa  “no cree” que se hayan robado datos de clientes.

Por su parte, el investigador de seguridad Kevin Beaumont observó que “la plataforma AWS de Travelex tenía servidores Windows con RDP habilitado para Internet y NLA [servicio de localización de redes] desactivado… caramba”. 

Travelex también parece haber estado ejecutando Windows Server 8 – un software obsoleto cuyo soporte de seguridad terminará el 14 de enero.

Según información no confirmada, el incidente sería, en realidad, un ataque de ransomware que ha dejado los sistemas encriptados y el personal no puede siquiera acceder a su correo electrónico.

Muchos clientes que dependen de las tarjetas de Travelex, mientras tanto, se han quedado varados en el extranjero sin acceso a divisas. 


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022