Licence pro více zařízení (množstevní slevy)
Computer Security Výzkumníci nalezli hlavní chybu v bankovní platformě,...

Výzkumníci nalezli hlavní chybu v bankovní platformě, která může ovlivnit miliony lidí

V roce Mura v roce Computer Security
Přeložit do:
Čeština

Výzkumný tým kybernetické bezpečnosti objevil významnou zranitelnost platformy finančních služeb, která již byla implementována ve velkém počtu bankovních systémů.

Tým se Salt Labs objevil hlavní chybu v API používaném finanční platformou. Zneužití bylo podvržení požadavku na straně serveru neboli SSRF. Pokud by byla úspěšně zneužita, mohla by chyba vést k potenciální katastrofě, která by umožnila aktérům hrozeb vysát bankovní účty milionů uživatelů.

Chyba by mohla hackerům umožnit přístup správce

Chyba byla objevena na stránce obsahující funkcionalitu, která umožňuje zákazníkům platformy finančních služeb přesouvat peníze z jejich peněženek platformy na jejich bankovní účty.

Společnost, která vlastní a ovládá platformu finančních služeb, nebyla jmenována, ale je popsána jako společnost, která nabízí služby, které bankám umožňují přejít z tradičního na online bankovnictví. Podle výzkumného týmu v Salt Labs v současnosti tuto platformu používají miliony lidí.

Zjištěný problém byl dostatečně závažný na to, aby mohl potenciálním aktérům hrozeb poskytnout administrátorský přístup k bance, která se rozhodla implementovat danou platformu. Jakmile je dosaženo tak vysoké úrovně privilegovaného přístupu,nebe je limitem . Hackeři toho mohli zneužít mnoha způsoby, od vyčerpání zákaznických účtů až po krádež jejich osobních údajů a přístup k informacím o minulých transakcích.

Zranitelnost byla objevena, když výzkumníci sledovali provoz na webových stránkách nejmenované společnosti. Tam zachytili chybu v rozhraní API vyvolaném prohlížečem k řešení požadavků.

Špatné zpracování parametrů u kořene chyby

Exploit umožnil vložit kód do parametru na stránce a poté nechat API kontaktovat novou, libovolnou adresu URL domény namísto adresy poskytnuté bankovní institucí používající platformu.

Jako důkaz zranitelnosti zpracovaly Salt Labs špatnou žádost, nahradily doménu bankovní instituce svou vlastní a poté získaly spojení na svém konci. Stručně řečeno, toto dokázalo, že server nikdy nekontroluje řetězec domény a „důvěřuje“ čemukoli, co obdrží v parametru InstitutionURL, což umožňuje manipulaci.

Podle výzkumného týmu jsou nedostatky a zranitelnosti v API běžně přehlíženy, i když jich může být v moři aktivních API hojné.

Načítání...