Исследователи обнаружили серьезный недостаток в банковской платформе, потенциально затрагивающий миллионы

Исследовательская группа по кибербезопасности обнаружила серьезную уязвимость в платформе финансовых услуг, которая уже была реализована в большом количестве банковских систем.

Команда Salt Labs обнаружила серьезный недостаток в API, используемом финансовой платформой. Эксплойт представлял собой подделку запросов на стороне сервера или SSRF. Если бы уязвимость была успешно использована, уязвимость могла привести к потенциальной катастрофе, позволив злоумышленникам опустошить банковские счета миллионов пользователей.

Недостаток может позволить хакерам получить доступ к администратору

Уязвимость была обнаружена на странице, содержащей функциональные возможности, которые позволяют клиентам платформы финансовых услуг переводить деньги из кошельков платформы на свои банковские счета.

Компания, которая владеет и контролирует платформу финансовых услуг, не была названа, но описывается как компания, предлагающая услуги, которые позволяют банкам перейти от традиционного к онлайн-банкингу. По данным исследовательской группы Salt Labs, в настоящее время этой платформой пользуются миллионы людей.

Обнаруженная проблема была достаточно серьезной, чтобы предоставить потенциальным злоумышленникам административный доступ к банку, который решил внедрить рассматриваемую платформу. Как только будет получен такой высокий уровень привилегированного доступа,не будет предела . Хакеры могли злоупотреблять этим по-разному, от опустошения учетных записей клиентов до кражи их личной информации и доступа к информации о прошлых транзакциях.

Уязвимость была обнаружена, когда исследователи отслеживали трафик на сайте неназванной компании. Там они перехватили ошибку в API, вызываемом браузером для обработки запросов.

Плохая обработка параметров в корне ошибки

Эксплойт позволял вставлять код в параметр на странице, а затем API связывался с новым произвольным URL-адресом домена вместо того, который был предоставлен банковским учреждением, использующим платформу.

В качестве доказательства уязвимости Salt Labs подделала неверный запрос, заменив домен банковского учреждения своим собственным, а затем получив соединение на своей стороне. Короче говоря, это доказало, что сервер никогда не проверяет строку домена и «доверяет» всему, что он получает в параметре InstitutionURL, допуская подделку.

По данным исследовательской группы, недостатки и уязвимости в API обычно упускаются из виду, хотя их может быть много в море активно используемых API.