חוקרים מוצאים פגם גדול בפלטפורמת הבנקאות שעלול להשפיע על מיליונים

צוות מחקר אבטחת סייבר גילה פגיעות משמעותית בפלטפורמת שירותים פיננסיים שכבר הוטמעה במספר רב של מערכות בנקאיות.

הצוות עם Salt Labs גילה פגם גדול ב-API המשמש את הפלטפורמה הפיננסית. הניצול היה זיוף בקשה בצד השרת או SSRF. אם זה היה מנוצל בהצלחה, הפגם יכול היה להוביל לאסון פוטנציאלי, ולאפשר לשחקני איום לרוקן את חשבונות הבנק של מיליוני משתמשים.

פגם עלול לאפשר להאקרים גישה למנהל מערכת

הפגם התגלה בעמוד המכיל פונקציונליות המאפשרת ללקוחות של פלטפורמת השירותים הפיננסיים להעביר כסף מארנק הפלטפורמה לחשבונות הבנק שלהם.

החברה שמחזיקה ושולטת בפלטפורמת השירותים הפיננסיים לא נמסרה בשם, אך מתוארת ככזו שמציעה שירותים המאפשרים לבנקים לעבור מבנקאות מסורתית לבנקאות מקוונת. לפי צוות המחקר ב-Salt Labs, ישנם כיום מיליוני אנשים שמשתמשים בפלטפורמה הזו.

הבעיה שהתגלתה הייתה משמעותית מספיק כדי שתוכל להעניק לשחקני איומים פוטנציאליים גישה מנהלתית לבנק שבחר ליישם את הפלטפורמה המדוברת. ברגע שמתקבלת רמה כה גבוהה של גישה מועדפת,השמיים הם הגבול . האקרים יכלו לנצל זאת לרעה בדרכים רבות, החל מניקוז חשבונות לקוחות ועד גניבת המידע המאפשר זיהוי אישי שלהם וגישה למידע על עסקאות קודמות.

הפגיעות התגלתה בזמן שהחוקרים עקבו אחר התנועה באתר החברה ללא שם. שם יירטו תקלה ב-API שקרא הדפדפן לטיפול בבקשות.

טיפול גרוע בפרמטרים בשורש הפגם

הניצול איפשר להכניס קוד בתוך פרמטר בעמוד ולאחר מכן לגרום ל-API ליצור קשר עם כתובת האתר החדשה והשרירותית של הדומיין במקום זו שסופק על ידי המוסד הבנקאי המשתמש בפלטפורמה.

כהוכחה לפגיעות, Salt Labs טיפלו בבקשה גרועה, החליפו את הדומיין של המוסד הבנקאי בשלהם, ואז קיבלו את החיבור בצד שלהם. בקיצור, זה הוכיח שהשרת אף פעם לא בודק את מחרוזת הדומיין ו"סומך" על כל מה שהוא מקבל בפרמטר InstitutionURL, מה שמאפשר שיבוש.

על פי צוות המחקר, לרוב מתעלמים מפגמים ופגיעות ב-API, למרות שהם יכולים להיות בשפע על פני ים של ממשקי API שנמצאים בשימוש פעיל.