Badacze znajdują poważną wadę platformy bankowej, która może mieć wpływ na miliony

Zespół badawczy ds. cyberbezpieczeństwa odkrył istotną lukę w platformie usług finansowych, która została już wdrożona w wielu systemach bankowych.

Zespół z Salt Labs odkrył poważną usterkę w interfejsie API używanym przez platformę finansową. Exploit polegał na podrabianiu żądań po stronie serwera lub SSRF. Gdyby udało się go wykorzystać, usterka mogłaby doprowadzić do potencjalnej katastrofy, umożliwiając cyberprzestępcom opróżnianie kont bankowych milionów użytkowników.

Błąd może umożliwić hakerom dostęp administracyjny

Luka została wykryta na stronie zawierającej funkcjonalność umożliwiającą klientom platformy usług finansowych przenoszenie pieniędzy z ich portfeli platformy na konta bankowe.

Firma, która jest właścicielem i kontroluje platformę usług finansowych, nie została wymieniona, ale jest opisywana jako firma oferująca usługi, które umożliwiają bankom przejście z bankowości tradycyjnej do bankowości internetowej. Według zespołu badawczego w Salt Labs, obecnie z tej platformy korzystają miliony osób.

Wykryty problem był na tyle istotny, że umożliwił potencjalnym cyberprzestępcom dostęp administracyjny do banku, który zdecydował się wdrożyć daną platformę. Po uzyskaniu tak wysokiego poziomu uprzywilejowanego dostępu nie magranic. Hakerzy mogli nadużywać tego na wiele sposobów, od opróżniania kont klientów po kradzież ich danych osobowych i uzyskiwanie dostępu do informacji o przeszłych transakcjach.

Luka została odkryta, gdy badacze monitorowali ruch na stronie internetowej nienazwanej firmy. Tam przechwycili błąd w interfejsie API wywoływanym przez przeglądarkę w celu obsługi żądań.

Zła obsługa parametrów u podstaw usterki

Exploit pozwalał na umieszczenie kodu wewnątrz parametru na stronie, a następnie skontaktowanie się przez API z nowym, dowolnym adresem URL domeny zamiast tego, który dostarczyła instytucja bankowa korzystająca z platformy.

Jako dowód podatności, Salt Labs sfabrykowało niewłaściwą prośbę, podmieniając domenę instytucji bankowej na własną, a następnie otrzymując połączenie z ich strony. Krótko mówiąc, dowiodło to, że serwer nigdy nie sprawdza ciągu domeny i „ufa” temu, co otrzyma w parametrze InstitutionURL, umożliwiając manipulację.

Według zespołu badawczego, błędy i luki w interfejsach API są często pomijane, mimo że mogą być liczne w całym morzu aktywnie wykorzystywanych interfejsów API.