Дослідники знайшли серйозний недолік у банківській платформі, який потенційно вплине на мільйони

Дослідницька група з питань кібербезпеки виявила значну вразливість у платформі фінансових послуг, яка вже реалізована у великій кількості банківських систем.

Команда з Salt Labs виявила серйозний недолік в API, який використовується фінансовою платформою. Експлойтом було підроблення запитів на стороні сервера або SSRF. Якби він був успішно використаний, недолік міг би призвести до потенційної катастрофи, що дозволить учасникам загроз вичерпати банківські рахунки мільйонів користувачів.

Помилка може дозволити хакерам отримати доступ адміністратора

Помилка була виявлена на сторінці, яка містить функціональні можливості, які дозволяють клієнтам платформи фінансових послуг переміщувати гроші зі своїх гаманців платформи на свої банківські рахунки.

Компанія, яка володіє та контролює платформу фінансових послуг, не названа, але описана як компанія, яка пропонує послуги, які дозволяють банкам перейти від традиційного до онлайн-банкінгу. За даними дослідницької групи Salt Labs, наразі цією платформою користуються мільйони людей.

Виявлена проблема була достатньо значущою, щоб надати потенційним суб’єктам загрози адміністраторський доступ до банку, який вирішив запровадити відповідну платформу. Як тільки досягається такий високий рівень привілейованого доступу,небо стає межою . Хакери могли зловживати цим багатьма способами: від вилучення облікових записів клієнтів до викрадення їх особистої інформації та доступу до інформації про минулі транзакції.

Уразливість було виявлено, коли дослідники відстежували трафік на веб-сайті неназваної компанії. Там вони перехопили помилку в API, викликаному браузером для обробки запитів.

Погана обробка параметрів в корені недоліку

Експлойт дозволив вставити код усередину параметра на сторінці, а потім змусити API зв’язатися з новою, довільною URL-адресою домену замість тієї, яку надає банківська установа, яка використовує платформу.

Як доказ уразливості, Salt Labs виправили поганий запит, замінивши домен банківської установи своїм власним, а потім отримавши підключення на своєму кінці. Коротше кажучи, це довело, що сервер ніколи не перевіряє рядок домену і "довіряє" всьому, що він отримує в параметрі InstitutionURL, дозволяючи підробку.

Згідно з дослідницькою групою, недоліки та вразливості, що містяться в API, зазвичай не помічаються, хоча їх може бути багато в багатьох API, які активно використовуються.