Un hacker llamado Sathya Prakash, usuario del banco en cuestión, encontró un fallo en la aplicación de uno de los mayores bancos de la India, que le permitía acceder a cualquier cuenta sin necesidad de usar contraseña. Gracias a esto, el hacker podía acceder a todo el capital del banco y substraerlo. Para probar su hack, Prakash utilizó la aplicación de iOS, utilizando su MacBook Pro como proxy.
El hacker, que se dedica a buscar fallos de seguridad, alertó al banco de la situación, en lugar de aprovecharse y sacar todo el dinero. Lo que más le sorprendió fue la facilidad con la que pudo acceder a los datos de las cuentas de su familia, alguna de las cuales no tenía habilitado ni el acceso móvil.
Acceso a todas las cuentas sin contraseña
La vulnerabilidad se encontraba en la aplicación que el banco usa para los móviles. Con tan solo unas pocas líneas de código, el hacker podía acceder a todas las cuentas. El fallo se encontraba en que la aplicación no contaba con Certificate Pinning (o cadena de certificado), con lo cual se podía dar un ataque de man-in-the-middle, es decir, que podía acceder a la información que se intercambia entre el usuario y el servidor sin que ninguna de las partes lo supiera. De esta manera, con certificados fraudulentos basados en SSL, se podía acceder a toda la información sin encriptar.
Además de este fallo, había 2 más relacionados con cómo se accedía y autenticaban los usuarios en la aplicación. Prakash encontró que podía modificar cualquier cuenta de cualquier usuario, ver el balance, y añadir beneficiarios para poder enviar el dinero a otras cuentas. Todo esto sin ni siquiera conocer la contraseña del afectado, y debido a una estructura de acceso insegura.
Junto a este fallo, Prakash también podía hacer transferencias sin necesidad de introducir el PIN ni ningún otro elemento de seguridad de los usados para asegurar que las transferencias son seguras.
El banco tuvo suerte de que Prakash sea un “white hat hacker”
Por suerte, y dado que Prakash es un “white hat hacker” (hacker que pone a prueba los sistemas de seguridad de alguna organización), en lugar de aprovecharse de estos fallos,Prakash avisó al banco, escribiéndoles el código que tenían que ejecutar para poder dar uso a la vulnerabilidad.
A los 12 días le contestaron al e-mail que él envió, cuyo asunto rezaba “Ey, vuestros miles de millones de dólares están en peligro”, comunicándole que el fallo había sido subsanado. A pesar de la gravedad del fallo, el banco no remuneró a Prakash con una recompensa.
Fuente:https://www.adslzone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
