Chyby v aplikácii mohli viesť ku krádeži 25 miliárd dolárov

Indický expert zachránil banku a jej klientov pred obrovskými stratami. Jej aplikácia mala základné bezpečnostné nedostatky.

Svetové banky sa čoraz častejšie stávajú cieľmi koordinovaných kyberútokov. Len pred niekoľkými dňami sme informovali o pripravovanom útoku skupiny APT28. V kyberzločine sa pritom nejedná o nový trend. Už roky bezpečnostní analytici varujú pred rapídnym nárastom útokov, za ktorými stoja sofistikovaní protivníci so značnými prostriedkami. V nedávnej minulosti  sa takejto skupine útočníkov podarilo odcudziť jednu miliardu dolárov z rozličných bánk v Rusku, Japonsku, Európe a Spojených štátoch.

Dnes si banky zvyčajne dobre uvedomujú, aké nebezpečenstvá môže ukrývať kyberpriestor a pri svojom zabezpečení spolupracujú s technologickými firmami. O to šokujúcejšie sa zdajú byť bezpečnostné chyby, ktorých sa indická banka dopustila. Kritické nedostatky v jej mobilnej bankovej aplikácií len za pomoci niekoľkých riadkov kódu umožňovali prípadnému útočníkovi odcudziť peniaze z akéhokoľvek zákazníckeho účtu.

Našťastie pre banku, ako prvý chyby objavil bezpečnostný výskumník Sathya Prakash. Namiesto toho, aby slabinu využil a získal tak prístup k približne 25 miliardám dolárov, Prakash banku okamžite varoval. Navyše jej pomohol spomínané bezpečnostné nedostatky odstrániť

Hlavným nedostatkom bola absencia techniky zvanej Certificate Pinning (je to proces, ktorý má zabrániť útokom s pomocou falošného SSL certifikátu), čo umožňovalo jednoduchý útok „muža v strede“.

Prakash tiež zistil, že banková aplikácia má nezabezpečené prihlasovanie. Táto chyba by útočníkom umožnila pozrieť si aktuálny stav konta či zadať príkaz na prevod aj bez znalosti prihlasovacieho hesla ku konkrétnemu účtu. Akoby to nestačilo aplikácia nekontrolovala ani zákazníkove ID a PIN.

Keby sa k takýmto chybám dostala sofistikovaná skupina kriminálnikov, mohla by dlhodobo a nepozorovane okrádať indickú banku. Preto je dôležité, aby podobné bezpečnostné nedostatky banky odhalili. Práve z toho dôvodu firmy čoraz častejšie ponúkajú nálezcom takýchto chýb peňažnú odmenu. Nanešťastie pre Sathya Prakasha indická banka tieto metódy nevyznáva a on tak zostáva bez odmeny.

(PP)