با چند خط کد، ۲۵ میلیارد دلار بدزدید!

یک متخصص، حفره‌هایی امنیتی کشف کرده که به هر کسی اجازه می‌دهند ۲۵ میلیارد دلار از بزرگترین بانک هند به سرقت ببرد. یک محقق امنیتی به نام ساتیا پراکاش آسیب‌پذیری‌هایی بحرانی در برنامه بانکداری گوشی تلفن همراه کشف کرد.
پراکاش گفت که سوءاستفاده از این حفره به او اجازه می‌دهد که از هر مشتری یا از تمامی مشتریان بانک دزدی کند. پراکاش این خطا را صادقانه به موسسه مالی گزارش داده و متخصصان آن مؤسسه را در وصله آن حمایت کرده ‌است.
پراکاش یک مشکل کاملاً رایج برای برنامه‌های گوشی تلفن همراه را کشف کرد که مربوط به گواهی‎نامه‎های الصاقی است که کاربر را در معرض حملات مرد میانی قرار می‌دهد. مهاجم می‌تواند با استفاده از ترافیک و دستکاری آن، فعالیت‌های مخربی انجام دهد.
او در وبلاگش نوشت: «سعی کردیم یک گواهی‎نامه خود-امضا نصب کنیم تا به متن ساده و اصلی درخواست/پاسخ در Burp دست یابیم و این عملیات همانند یک جادو عمل کرد. یعنی هیچ الصاقی برای گواهی‎نامه لازم نیست و چون این حفره در مورد یک برنامه بانکداری گوشی تلفن است، وارد نکردن پین یک خطا و اشتباه بزرگ محسوب می‌شود».
این متخصص همچنین خطای خطرناکی در فرآیند احراز هویت کشف کرد که اگر مورد سوءاستفاده مهاجمان قرار گیرد می‌تواند به نیمی از مشتریان بانک‌ها حمله کنند. (یعنی می‌تواند با دسترسی به حساب بانکی مشتریان پولشان را جابجا کنند).
او گفت: «بنابراین درخواست فراخوانی API انتقال وجه در مسیر CURL، مرحله تایید حساب گیرنده/ذی‎نفع را دور می‌زند و در ادامه می‌توانستم پول را به حسابی که در فهرست ذی‎نفعم نبود ارسال کنم. برای این کار فقط به ۵ خط کد برای استخراج اطلاعات مشتریان بانک نیاز داشتم (حساب‌های جاری و سپرده)».
این متخصص نشان داد از نظر تئوری امکان سرقت از هر حساب بانکی وجود دارد. او در ابتدا کد PoC خود را برای انجام تراکنش با حساب خودش امتحان کرد، درخواستی با ID و MTPIN خود فرستاد، اما حساب فرستنده (۶۲۵۴) به وی تعلق نداشت.
فقط با ۱۳ خط کد می‌توان به طور خودکار به حساب بانکی نفوذ کرد. پراکاش فهمید که این برنامه ID مشتری یا PIN احراز هویت تراکنش (MTPIN) که برای عملیاتی مثل انتقالات پول، اساسی و ضروری است را بررسی نمی‌کند.
او به Motherboard گفت که با استفاده از حساب‌های بانکی خانواده‌اش با موفقیت این حفره را آزمایش کرده است. پراکاش افزود: «با چند حساب بانکی متعلق به خانواده‌ام، این آزمایش را نجام دادم. تعدادی از این حساب‌ها حتی بانکداری شبکه‌ای یا برنامه بانکداری گوشی را نداشتند».
اما این داستان پایان ناعادلانه‌ای دارد، با اینکه پراکاش با صداقت کامل این حفره را به بانک گزارش داد، اما این موسسه مالی به او پاداشی نداد.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap