O hacker encontra um bug que permite que todos roubem duas vezes de um banco!

Um hacker moral indiano encontrou vários bugs em um aplicativo bancário que poderiam permitir que alguém roubasse US $ 25 bilhões. Um banco desconhecido teve sorte que um hacker moral encontrou falhas e os informou sobre isso. Se ele tivesse uma má intenção, poderia ter deixado US $ 25 bilhões mais ricos.

O hacker encontra um bug que permite que todos roubem duas vezes de um banco!

No final do ano passado, o pesquisador de segurança Sathya Prakash descobriu uma série de vulnerabilidades críticas no aplicativo de banco móvel de um banco desconhecido que lhe permitiu roubar dinheiro de qualquer um ou de seus clientes com apenas algumas linhas de código.

No entanto, Prakash imediatamente entrou em contato com o banco e deu o alarme sobre as graves falhas em seu aplicativo de banco móvel. Ele também a ajudou a consertar bugs, em vez de aproveitar as violações de segurança para roubar dinheiro do banco, que tem cerca de US $ 25 bilhões em depósitos.

Segundo Prakash, ao analisar a implementação do banco, ele descobriu que havia muitos erros. Prakash descobriu que o aplicativo não possuía Fixação de Certificado, permitindo que qualquer invasor intermediário faça o downgrade da conexão SSL e “capture” solicitações em texto sem formatação, usando o engano emitindo certificados. Esse erro permitiu que ele visse facilmente os arquivos dos clientes bancários, como o saldo atual da conta e os depósitos, automatizando e adivinhando o ID do cliente.

No entanto, este foi apenas o começo e quando ele continuou pesquisando e encontrou um grande erro, ele permitiu selecionar qualquer conta pelo aplicativo e transferir o dinheiro dessa conta para a conta de outra pessoa. Prakash descobriu que o aplicativo de banco móvel tinha arquitetura de login insegura, permitindo executar ações críticas em nome do titular da conta sem conhecer o código de login, como ver o saldo da conta atual e os depósitos da vítima, e adicione um novo beneficiário e faça transferências ilegais.

Prakash também descobriu que o aplicativo bancário não verificava se esse ID de cliente específico ou o PIN de autorização de transação (MTPIN) realmente pertencia ao remetente. O MTPIN é usado por transações bancárias para transferir fundos ou criar uma nova conta bancária / depósito a prazo.

Prakash testou com sucesso esse defeito usando as contas de seus pais. Assim que tentou e confirmou suas fraquezas, em vez de tirar proveito da situação, ele enviou um e-mail ao banco em 13 de novembro de 2015. O banco tomou conhecimento de sua descoberta e imediatamente notificou o aplicativo bancário para corrigir suas deficiências. No entanto, Prakash não foi generosamente pago pela descoberta do bug nem foi parabenizado pelo banco por economizar milhões, senão bilhões.