GDPR Cookie Consent by Free Privacy Policy Generator

Δείτε κλασικό παράδειγμα αχαριστίας των νόμιμων τοκογλύφων (τραπεζών)

Παρασκευή, 20 Μαϊος 2016 10:22

Οι τράπεζες ως γνωστόν είναι οι νόμιμοι τοκογλύφοι παγκοσμίως που κάνουν τη βρώμικη δουλειά των εκάστοτε κυβερνήσεων, "πίνοντας" στην κυριολεξία το αίμα του κόσμου και κρατώντας το μεγαλύτερο μέρος του πληθυσμού σε κατάσταση ομηρίας. Δείτε ένα κλασικό παράδειγμα αχαριστίας μιας τράπεζας στην Ινδία, απέναντι σε έναν ηθικό χάκερ που την γλύτωσε από ζημιά 25 δισεκατομμυρίων δολλαρίων! Πληροφοριακά για όσους δεν γνωρίζουν, να πούμε πως ηθικοί χάκερ ονομάζονται οι χάκερ που παρέχουν υπηρεσίες για την βελτίωση των συστημάτων ασφαλείας εταιρειών, οργανισμών, υπηρεσιών, τραπεζών, ομιλών και όχι μόνο. Δηλαδή χρησιμοποιούν τις γνώσεις με νόμιμο τρόπο.

Στα τέλη του περασμένου έτους, ο ερευνητής ασφαλείας, Sathya Prakash, ανακάλυψε μια σειρά από κρίσιμα θέματα ευπάθειας στην τραπεζική εφαρμογή για κινητά μιας άγνωστης τράπεζας που του επέτρεπε να κλέψει χρήματα από οποιονδήποτε ή από όλους τους πελάτες της με τη βοήθεια μόνο λίγων γραμμών κώδικα.

Ωστόσο, ο Prakash αμέσως επικοινώνησε με την εν λόγω τράπεζα και της έκρουσε τον κώδωνα του κινδύνου σχετικά με τα σοβαρά ελαττώματα στο mobile banking app της. Επίσης, τη βοήθησε να διορθώσει τα bugs, αντί να εκμεταλλευτεί τα κενά ασφαλείας για να κλέψει χρήματα από την τράπεζα που έχει περίπου $25 δισεκατομμύρια σε καταθέσεις.

Σύμφωνα με τον Prakash, όταν ανέλυσε την εφαρμογή της τράπεζας, βρήκε ότι είχε πολλά σφάλματα. Ο Prakash ανακάλυψε ότι η εφαρμογή δεν διαθέτει Certificate Pinning, επιτρέποντας κάθε man-in-the-middle εισβολέα να υποβαθμίσει την SSL σύνδεση και να «αιχμαλωτίσει» requests σε μορφή απλού κειμένου χρησιμοποιώντας δόλο εκδίδοντας πιστοποιητικά. Αυτό το σφάλμα του επέτρεπε να δει εύκολα τα αρχεία των τραπεζικών πελατών, όπως το τρέχον υπόλοιπο του λογαριασμού τους και τις καταθέσεις τους μόνο αυτοματοποιώντας και μαντεύοντας το αναγνωριστικό του πελάτη.

banking system

Αυτό ήταν μόνο η αρχή όμως, και όταν ο ίδιος συνέχισε το ψάξιμο και βρήκε ένα μεγάλο σφάλμα που του επέτρεπε να επιλέξει οποιοδήποτε λογαριασμό μέσω του App και να μεταφέρει τα χρήματα από τον εν λόγω λογαριασμό στο λογαριασμό κάποιου άλλου. Ο Prakash διαπίστωσε ότι το mobile banking app είχε ανασφαλή αρχιτεκτονική login, επιτρέποντάς του να εκτελέσει κρίσιμες δράσεις για λογαριασμό του κατόχου του στοχευμένου λογαριασμού χωρίς να γνωρίζει τον κωδικό σύνδεσης, όπως να βλέπει το τρέχον υπόλοιπο του λογαριασμού και των καταθέσεων του θύματος, καθώς και να προσθέσει ένα νέο δικαιούχο και κάνοντας παράνομες μεταφορές.

Ο Prakash ανακάλυψε, επίσης, ότι το τραπεζικό app δεν έλεγχε αν το συγκεκριμένο ID πελάτη ή το Transaction Authorisation PIN (MTPIN) στην πραγματικότητα ανήκε στον αποστολέα. Το MTPIN χρησιμοποιείται από τις τραπεζικές συναλλαγές για τη μεταφορά κεφαλαίων ή τη δημιουργία ενός νέου τραπεζικού λογαριασμού / προθεσμιακής κατάθεσης.

Ο Prakash δοκίμασε με επιτυχία αυτό το ελάττωμα, χρησιμοποιώντας τους λογαριασμούς των γονιών του. Μόλις δοκίμασε και επιβεβαίωσε τις αδυναμίες, αντί να εκμεταλλευτεί την κατάσταση, έστειλε ένα e-mail με υπευθυνότητα την τράπεζα στις 13 Νοεμβρίου, 2015. Η τράπεζα έλαβε γνώση της ανακάλυψής του και αμέσως ενημέρωσε το banking App για να επιδιορθώσει τα ελαττώματά του. Ωστόσο, ο Prakash ούτε πληρώθηκε γενναιόδωρα για την ανακάλυψη του bug ούτε του απονεμήθηκαν συγχαρητήρια από την τράπεζα για την εξοικονόμηση εκατομμυρίων, αν όχι δισεκατομμυρίων.

 

Πηγή