Pesquisadores Encontram uma Grande Falha na Plataforma Bancária que pode Afetar Milhões
Uma equipe de pesquisa de segurança cibernética descobriu uma vulnerabilidade significativa em uma plataforma de serviços financeiros, que já foi implementada em um grande número de sistemas bancários.
A equipe da Salt Labs descobriu uma grande falha na API usada pela plataforma financeira. A exploração foi uma falsificação de solicitação do lado do servidor ou SSRF. Se tivesse sido explorada com sucesso, a falha poderia ter levado a um desastre em potencial, permitindo que os agentes de ameaças drenassem as contas bancárias de milhões de usuários.
Essa Falha pode Permitir Acesso de Administrador aos Hackers
A falha foi descoberta em uma página contendo uma funcionalidade que permite aos clientes da plataforma de serviços financeiros movimentar dinheiro de suas carteiras da plataforma para suas contas bancárias.
A empresa que possui e controla a plataforma de serviços financeiros não foi nomeada, mas é descrita como uma que oferece serviços que permitem que os bancos passem do banco tradicional para o online. De acordo com a equipe de pesquisa da Salt Labs, atualmente existem milhões de pessoas que usam essa plataforma.
O problema descoberto foi significativo o suficiente para permitir que os possíveis agentes de ameaças tenham acesso de administrador ao banco que optou por implementar a plataforma em questão. Uma vez obtido um nível tão alto de acesso privilegiado, o céu é o limite. Os hackers poderiam ter abusado disso de várias maneiras, desde drenar contas de clientes até roubar suas informações de identificação pessoal e acessar informações sobre transações anteriores.
A vulnerabilidade foi descoberta enquanto os pesquisadores monitoravam o tráfego no site da empresa não identificada. Lá, eles interceptaram uma falha dentro da API chamada pelo navegador para lidar com as solicitações.
Manuseio Incorreto de Parâmetros na Raiz da Falha
O exploit permite inserir um código dentro de um parâmetro na página e então fazer com que a API entre em contato com um novo URL de domínio arbitrário,em vez daquele fornecido pela instituição bancária que usa a plataforma.
Como prova da vulnerabilidade, a Salt Labs adulterou um pedido inválido, substituindo o domínio da instituição bancária pelo seu próprio, recebendo a conexão do seu lado. Resumindo, isso provou que o servidor nunca verifica a string do domínio e "confia" no que recebe no parâmetro InstitutionURL, permitindo adulterações.
De acordo com a equipe de pesquisa, falhas e vulnerabilidades que residem em APIs são comumente ignoradas, embora possam ser abundantes em todo o mar de APIs que são usados ativamente.