Forscher finden großen Fehler in der Banking-Plattform, der möglicherweise Millionen betrifft

Ein Forschungsteam für Cybersicherheit entdeckte eine erhebliche Schwachstelle in einer Finanzdienstleistungsplattform, die bereits in einer großen Anzahl von Banksystemen implementiert wurde.

Das Team von Salt Labs entdeckte einen großen Fehler in der von der Finanzplattform verwendeten API. Der Exploit war eine serverseitige Anforderungsfälschung oder SSRF. Wenn es erfolgreich ausgenutzt worden wäre, hätte der Fehler zu einer potenziellen Katastrophe führen können, die es Angreifern ermöglicht hätte, die Bankkonten von Millionen von Benutzern zu leeren.

Der Fehler könnte Hackern Administratorzugriff gewähren

Der Fehler wurde auf einer Seite entdeckt, die Funktionen enthält, die es Kunden der Finanzdienstleistungsplattform ermöglichen, Geld von ihren Plattform-Wallets auf ihre Bankkonten zu überweisen.

Das Unternehmen, das die Finanzdienstleistungsplattform besitzt und kontrolliert, wurde nicht genannt, wird aber als eines beschrieben, das Dienstleistungen anbietet, die es Banken ermöglichen, vom traditionellen zum Online-Banking überzugehen. Laut dem Forschungsteam von Salt Labs nutzen derzeit Millionen von Menschen diese Plattform.

Das entdeckte Problem war signifikant genug, um potenziellen Bedrohungsakteuren Administratorzugriff auf die Bank zu gewähren, die sich für die Implementierung der fraglichen Plattform entschieden hat. Sobald ein so hohes Maß an privilegiertem Zugriff erreicht ist,  setzt nur der Himmel die Grenzen. Hacker hätten dies auf viele Arten missbrauchen können, von der Leerung von Kundenkonten über den Diebstahl ihrer persönlich identifizierbaren Informationen bis hin zum Zugriff auf Informationen über vergangene Transaktionen.

Die Schwachstelle wurde entdeckt, während die Forscher den Datenverkehr auf der Website des namenlosen Unternehmens überwachten. Dort haben sie einen Fehler innerhalb der API abgefangen, die vom Browser aufgerufen wird, um Anfragen zu bearbeiten.

Schlechte Parameterbehandlung an der Wurzel des Fehlers

Der Exploit ermöglichte es, Code in einen Parameter auf der Seite einzufügen und die API dann die neue, willkürliche Domänen-URL anstelle der vom Bankinstitut, das die Plattform nutzt, bereitgestellten zu kontaktieren.

Als Beweis für die Schwachstelle manipulierte Salt Labs eine fehlerhafte Anfrage, ersetzte die Domain des Bankinstituts durch ihre eigene und erhielt dann die Verbindung auf ihrer Seite. Kurz gesagt, dies hat bewiesen, dass der Server die Domänenzeichenfolge niemals überprüft und dem, was er im InstitutionURL-Parameter erhält, als "vertraut" behandelt, was Manipulationen ermöglicht.

Nach Angaben des Forschungsteams werden Fehler und Schwachstellen in APIs häufig übersehen, obwohl sie im Meer der aktiv genutzten APIs reichlich vorhanden sein können.