Licenca për shumë pajisje (Zbritje në vëllim)
Computer Security Studiuesit zbulojnë të meta të mëdha në platformën...

Studiuesit zbulojnë të meta të mëdha në platformën bankare që mund të ndikojë në miliona

Nga MuraComputer Security
Përkthe në:
Shqip

Një ekip kërkimor për sigurinë kibernetike zbuloi një dobësi të konsiderueshme në një platformë shërbimesh financiare që tashmë është zbatuar në një numër të madh sistemesh bankare.

Ekipi me Salt Labs zbuloi një defekt të madh në API të përdorur nga platforma financiare. Shfrytëzimi ishte një falsifikim i kërkesës nga ana e serverit ose SSRF. Nëse do të ishte shfrytëzuar me sukses, e meta mund të kishte çuar në një katastrofë të mundshme, duke lejuar aktorët e kërcënimit të kullojnë llogaritë bankare të miliona përdoruesve.

E meta mund t'u lejojë hakerëve aksesin e administratorit

E meta u zbulua në një faqe që përmban funksionalitet që lejon klientët e platformës së shërbimeve financiare të transferojnë para nga kuletat e platformës së tyre në llogaritë e tyre bankare.

Kompania që zotëron dhe kontrollon platformën e shërbimeve financiare nuk u emërua, por përshkruhet si ajo që ofron shërbime që lejojnë bankat të kalojnë nga banka tradicionale në atë online. Sipas ekipit hulumtues në Salt Labs, aktualisht ka miliona njerëz që përdorin atë platformë.

Çështja e zbuluar ishte mjaft domethënëse për të qenë në gjendje t'u jepte aktorëve të mundshëm kërcënimesh akses administratori në bankë që zgjodhi të zbatonte platformën në fjalë. Pasi të arrihet një nivel kaq i lartë i aksesit të privilegjuar,kufiri është qielli . Hakerët mund ta kenë abuzuar këtë në shumë mënyra, nga kullimi i llogarive të klientëve deri te vjedhja e informacionit të tyre personal të identifikueshëm dhe aksesi në informacione për transaksionet e kaluara.

Dobësia u zbulua ndërsa studiuesit po monitoronin trafikun në faqen e internetit të kompanisë pa emër. Atje, ata kapën një defekt brenda API-së të thirrur nga shfletuesi për t'u marrë me kërkesat.

Trajtimi i keq i parametrave në rrënjë të defektit

Shfrytëzimi lejoi të fuste kodin brenda një parametri në faqe dhe më pas të kontaktonte API-në URL-në e re, arbitrare të domenit në vend të atij të ofruar nga institucioni bankar që përdor platformën.

Si provë e cenueshmërisë, Salt Labs miratoi një kërkesë të keqe, duke zëvendësuar domenin e institucionit bankar me të tyren, duke marrë më pas lidhjen në fund. Shkurtimisht, kjo vërtetoi se serveri nuk kontrollon kurrë vargun e domenit dhe "i beson" çdo gjëje që ai merr në parametrin InstitutionURL, duke lejuar ngacmime.

Sipas ekipit hulumtues, të metat dhe dobësitë që qëndrojnë në API-të zakonisht anashkalohen, edhe pse ato mund të jenë të bollshme përgjatë detit të API-ve që përdoren në mënyrë aktive.

Po ngarkohet...