สิทธิ์ใช้งานหลายอุปกรณ์ (ส่วนลดตามปริมาณ)
Computer Security นักวิจัยพบข้อบกพร่องที่สำคัญในแพลตฟอร์มการธนาคารที่อาจส่ง...

นักวิจัยพบข้อบกพร่องที่สำคัญในแพลตฟอร์มการธนาคารที่อาจส่งผลกระทบต่อคนนับล้าน

โดย Mura ใน Computer Security
แปลเป็น:
ภาษาไทย

ทีมวิจัยความปลอดภัยทางไซเบอร์ค้นพบ ช่องโหว่ ที่สำคัญในแพลตฟอร์มบริการทางการเงินที่มีการใช้งานแล้วในระบบธนาคารจำนวนมาก

ทีมงานของ Salt Labs ได้ค้นพบข้อบกพร่องที่สำคัญใน API ที่ใช้โดยแพลตฟอร์มทางการเงิน ช่องโหว่ดังกล่าวเป็นการปลอมแปลงคำขอฝั่งเซิร์ฟเวอร์หรือ SSRF หากใช้ประโยชน์ได้สำเร็จ ข้อบกพร่องอาจนำไปสู่หายนะที่อาจเกิดขึ้น ทำให้ผู้คุกคามสามารถ ระบายบัญชีธนาคาร ของผู้ใช้หลายล้านคนได้

ข้อบกพร่องอาจทำให้ผู้ดูแลระบบแฮ็กเกอร์เข้าถึงได้

ข้อบกพร่องถูกค้นพบในหน้าที่มีฟังก์ชั่นที่ช่วยให้ลูกค้าของแพลตฟอร์มบริการทางการเงินสามารถย้ายเงินจากกระเป๋าเงินของแพลตฟอร์มไปยังบัญชีธนาคารของพวกเขา

บริษัทที่เป็นเจ้าของและควบคุมแพลตฟอร์มบริการทางการเงินไม่ได้รับการตั้งชื่อ แต่ได้รับการอธิบายว่าเป็นบริษัทที่ให้บริการที่ช่วยให้ธนาคารสามารถย้ายจากธนาคารแบบดั้งเดิมมาเป็นธนาคารออนไลน์ได้ ตามที่ทีมวิจัยของ Salt Labs ปัจจุบันมีผู้คนนับล้านที่ใช้แพลตฟอร์มนั้น

ปัญหาที่ค้นพบมีนัยสำคัญเพียงพอที่จะทำให้ผู้ดูแลระบบที่อาจเป็นภัยคุกคามเข้าถึงธนาคารที่เลือกใช้แพลตฟอร์มที่เป็นปัญหาได้ เมื่อได้รับสิทธิ์เข้าถึงระดับสูงเช่นนี้ท้องฟ้าก็มีขีดจำกัด แฮ็กเกอร์อาจใช้ในทางที่ผิดได้หลายวิธี ตั้งแต่การระบายบัญชีลูกค้าไปจนถึงการ ขโมยข้อมูลที่ระบุตัวบุคคลได้ และการเข้าถึงข้อมูลเกี่ยวกับธุรกรรมในอดีต

ช่องโหว่ดังกล่าวถูกค้นพบในขณะที่นักวิจัยกำลังติดตามทราฟฟิกบนเว็บไซต์ของบริษัทที่ไม่มีชื่อ ที่นั่น พวกเขาสกัดกั้นข้อบกพร่องภายใน API ที่เบราว์เซอร์เรียกขึ้นมาเพื่อจัดการกับคำขอ

การจัดการพารามิเตอร์ที่ไม่ดีที่รากของข้อบกพร่อง

ช่องโหว่ดังกล่าวอนุญาตให้แทรกโค้ดภายในพารามิเตอร์ในหน้า จากนั้นให้ API ติดต่อ URL โดเมนใหม่ตามอำเภอใจ แทนที่จะเป็น URL ที่สถาบันการธนาคารให้ไว้โดยใช้แพลตฟอร์ม

เพื่อเป็นการพิสูจน์ช่องโหว่ Salt Labs ได้แก้ไขคำขอที่ไม่ถูกต้อง โดยแทนที่โดเมนของสถาบันการธนาคารด้วยโดเมนของตนเอง จากนั้นจึงได้รับการเชื่อมต่อในที่สุด กล่าวโดยสรุป สิ่งนี้พิสูจน์ให้เห็นว่าเซิร์ฟเวอร์ไม่เคยตรวจสอบสตริงของโดเมนและ "เชื่อถือ" ไม่ว่าอะไรก็ตามที่ได้รับในพารามิเตอร์ InstitutionURL เพื่อให้สามารถปลอมแปลงได้

ตามที่ทีมวิจัยกล่าว ข้อบกพร่องและช่องโหว่ที่อยู่ใน API นั้นมักถูกมองข้าม แม้ว่าจะมีอยู่มากมายทั่วทั้งทะเลของ API ที่มีการใช้งานอย่างแข็งขัน

กำลังโหลด...