शोधकर्ताओं ने बैंकिंग प्लेटफॉर्म में प्रमुख खामियां ढूंढी, जो संभावित रूप से लाखों लोगों को प्रभावित कर रहे हैं
एक साइबर सुरक्षा अनुसंधान दल ने एक वित्तीय सेवा मंच में एक महत्वपूर्ण भेद्यता की खोज की जिसे पहले ही बड़ी संख्या में बैंकिंग प्रणालियों में लागू किया जा चुका है।
साल्ट लैब्स की टीम ने वित्तीय प्लेटफॉर्म द्वारा उपयोग किए जाने वाले एपीआई में एक बड़ी खामी का पता लगाया। शोषण एक सर्वर-साइड अनुरोध जालसाजी या SSRF था। यदि इसका सफलतापूर्वक उपयोग किया गया होता, तो दोष संभावित आपदा का कारण बन सकता था, जिससे खतरे वाले अभिनेताओं को लाखों उपयोगकर्ताओं के बैंक खातों को खत्म करने की अनुमति मिलती।
दोष हैकर्स को व्यवस्थापक तक पहुंचने की अनुमति दे सकता है
दोष एक ऐसे पृष्ठ में खोजा गया था जिसमें कार्यक्षमता है जो वित्तीय सेवा मंच के ग्राहकों को अपने प्लेटफॉर्म वॉलेट से अपने बैंक खातों में पैसे स्थानांतरित करने की अनुमति देता है।
वित्तीय सेवा मंच का स्वामित्व और नियंत्रण करने वाली कंपनी का नाम नहीं था, लेकिन इसे ऐसी सेवाओं के रूप में वर्णित किया गया है जो बैंकों को पारंपरिक से ऑनलाइन बैंकिंग में जाने की अनुमति देती है। साल्ट लैब्स की शोध टीम के अनुसार, वर्तमान में उस प्लेटफॉर्म का उपयोग करने वाले लाखों लोग हैं।
खोजा गया मुद्दा काफी महत्वपूर्ण था जो संभावित खतरे वाले अभिनेताओं को उस बैंक तक पहुंच प्रदान करने में सक्षम था जिसने विचाराधीन प्लेटफॉर्म को लागू करने के लिए चुना था। एक बार इस तरह के उच्च स्तर की विशेषाधिकार प्राप्त पहुंच प्राप्त हो जाने के बाद,आकाश की सीमा होती है । हैकर्स कई तरीकों से इसका दुरुपयोग कर सकते हैं, ग्राहक के खातों को खत्म करने से लेकर उनकी व्यक्तिगत रूप से पहचान योग्य जानकारी को चुराने और पिछले लेनदेन के बारे में जानकारी तक पहुंचने तक।
भेद्यता का पता तब चला जब शोधकर्ता अनाम कंपनी की वेबसाइट पर ट्रैफ़िक की निगरानी कर रहे थे। वहां, उन्होंने अनुरोधों से निपटने के लिए ब्राउज़र द्वारा बुलाए गए एपीआई के भीतर एक गलती को रोक दिया।
त्रुटि की जड़ में खराब पैरामीटर हैंडलिंग
शोषण ने पृष्ठ में एक पैरामीटर के अंदर कोड डालने की अनुमति दी और फिर एपीआई को प्लेटफॉर्म का उपयोग करके बैंकिंग संस्थान द्वारा प्रदान किए गए एक के बजाय नए, मनमाना डोमेन URL से संपर्क किया।
भेद्यता के प्रमाण के रूप में, साल्ट लैब्स ने एक गलत अनुरोध किया, बैंकिंग संस्थान के डोमेन को अपने स्वयं के डोमेन से बदल दिया, फिर उनके अंत में कनेक्शन प्राप्त किया। संक्षेप में, यह साबित करता है कि सर्वर कभी भी डोमेन स्ट्रिंग की जांच नहीं करता है और "ट्रस्ट" जो कुछ भी इसे इंस्टीट्यूशनयूआरएल पैरामीटर में प्राप्त होता है, छेड़छाड़ की अनुमति देता है।
शोध दल के अनुसार, एपीआई में रहने वाली खामियों और कमजोरियों को आमतौर पर नजरअंदाज कर दिया जाता है, भले ही वे एपीआई के समुद्र में प्रचुर मात्रा में हो सकते हैं जो सक्रिय रूप से उपयोग किए जाते हैं।