Computer Security I ricercatori trovano un grave difetto nella piattaforma...

I ricercatori trovano un grave difetto nella piattaforma bancaria che potenzialmente colpisce milioni di persone

Un team di ricerca sulla sicurezza informatica ha scoperto una vulnerabilità significativa in una piattaforma di servizi finanziari che è già stata implementata in un gran numero di sistemi bancari.

Il team con Salt Labs ha scoperto un grave difetto nell'API utilizzata dalla piattaforma finanziaria. L'exploit era una contraffazione della richiesta lato server o SSRF. Se fosse stato sfruttato con successo, il difetto avrebbe potuto portare a un potenziale disastro, consentendo agli attori delle minacce di prosciugare i conti bancari di milioni di utenti.

Il difetto potrebbe consentire agli hacker l'accesso come amministratore

Il difetto è stato scoperto in una pagina contenente funzionalità che consentono ai clienti della piattaforma di servizi finanziari di spostare denaro dai loro portafogli della piattaforma ai loro conti bancari.

La società che possiede e controlla la piattaforma di servizi finanziari non è stata nominata, ma è descritta come una società che offre servizi che consentono alle banche di passare dal banking tradizionale all'online. Secondo il team di ricerca di Salt Labs, attualmente ci sono milioni di persone che utilizzano quella piattaforma.

Il problema scoperto era abbastanza significativo da consentire ai potenziali attori delle minacce l'accesso amministrativo alla banca che ha scelto di implementare la piattaforma in questione. Una volta ottenuto un così alto livello di accesso privilegiato,il limite è il cielo. Gli hacker potrebbero aver abusato di questo in molti modi, dal prosciugare gli account dei clienti al furto delle loro informazioni di identificazione personale e all'accesso alle informazioni sulle transazioni passate.

La vulnerabilità è stata scoperta mentre i ricercatori stavano monitorando il traffico attraverso il sito Web dell'azienda senza nome. Lì, hanno intercettato un errore all'interno dell'API richiamata dal browser per gestire le richieste.

Cattiva gestione dei parametri alla radice del difetto

L'exploit ha consentito di inserire codice all'interno di un parametro della pagina e quindi di fare in modo che l'API contattasse il nuovo URL di dominio arbitrario anziché quello fornito dall'istituto bancario che utilizza la piattaforma.

A riprova della vulnerabilità, Salt Labs ha falsificato una cattiva richiesta, sostituendo il dominio dell'istituto bancario con il proprio, ricevendo poi la connessione da parte loro. In breve, questo ha dimostrato che il server non controlla mai la stringa di dominio e "si fida" di tutto ciò che riceve nel parametro InstitutionURL, consentendo la manomissione.

Secondo il team di ricerca, i difetti e le vulnerabilità che risiedono nelle API sono comunemente trascurati, anche se possono essere abbondanti nel mare di API che vengono utilizzate attivamente.

Caricamento in corso...