Licenser för flera enheter (volymrabatter)
Computer Security Forskare hittar stora brister i bankplattformen som...

Forskare hittar stora brister i bankplattformen som potentiellt kan påverka miljoner

Med Mura år Computer Security
Översätt till:
Svenska

En forskargrupp för cybersäkerhet upptäckte en betydande sårbarhet i en plattform för finansiella tjänster som redan har implementerats i ett stort antal banksystem.

Teamet med Salt Labs upptäckte ett stort fel i API:et som används av den finansiella plattformen. Exploateringen var en förfalskning på serversidan eller SSRF. Om det hade utnyttjats framgångsrikt, kunde felet ha lett till en potentiell katastrof, vilket gör det möjligt för hotaktörer att tömma miljontals användares bankkonton.

Fel kan ge hackare administratörsåtkomst

Felet upptäcktes på en sida som innehåller funktionalitet som gör det möjligt för kunder på plattformen för finansiella tjänster att flytta pengar från sina plattformsplånböcker till sina bankkonton.

Företaget som äger och kontrollerar den finansiella tjänsteplattformen namngavs inte utan beskrivs som ett som erbjuder tjänster som gör att banker kan gå från traditionell till nätbank. Enligt forskargruppen på Salt Labs finns det för närvarande miljontals människor som använder den plattformen.

Problemet som upptäcktes var tillräckligt betydande för att kunna ge potentiella hotaktörer administratörsåtkomst till banken som valde att implementera plattformen i fråga. När en så hög nivå av privilegierad åtkomst väl har uppnåtts,är himlen gränsen. Hackare kunde ha missbrukat detta på många sätt, från att tömma kundkonton till att stjäla deras personligt identifierbara information och få tillgång till information om tidigare transaktioner.

Sårbarheten upptäcktes medan forskarna övervakade trafiken över det icke namngivna företagets webbplats. Där snappade de upp ett fel i API:et som webbläsaren kallade upp för att hantera förfrågningar.

Dålig parameterhantering i grunden till felet

Exploateringen tillät att infoga kod inuti en parameter på sidan och sedan låta API kontakta den nya, godtyckliga domänadressen istället för den som tillhandahålls av bankinstitutet som använder plattformen.

Som bevis på sårbarheten behandlade Salt Labs en dålig begäran, ersatte bankinstitutets domän med sin egen, och fick sedan anslutningen på deras sida. Kort sagt, detta bevisade att servern aldrig kontrollerar domänsträngen och "litar på" vad den tar emot i parametern InstitutionURL, vilket tillåter manipulering.

Enligt forskargruppen förbises ofta brister och sårbarheter som finns i API:er, även om de kan finnas rikligt över havet av API:er som används aktivt.

Läser in...