19 may 2016

Un Hacker es: "podría robar U$S 25B de un banco pero lo reporté"

Un HACKER (sí, con mayúscula) llamado Sathya Prakash, usuario del banco en cuestión, encontró un fallo en la aplicación de uno de los mayores bancos de la India, que le permitía acceder a cualquier cuenta sin necesidad de usar contraseña. Gracias a esto, el hacker podía acceder a todo el capital del banco y substraerlo. Para probar su hack, Prakash utilizó la aplicación de iOS, utilizando su MacBook Pro y Burp como Proxy.

El hacker, que se dedica a buscar fallos de seguridad, alertó al banco de la situación, en lugar de aprovecharse y sacar todo el dinero. Lo que más le sorprendió fue la facilidad con la que pudo acceder a los datos de las cuentas de su familia, alguna de las cuales no tenía habilitado ni el acceso móvil. En lugar de intentar robar algo así como U$S 25 billones que tiene el banco en depósitos, tomando ventaja de una serie de defectos críticos en la aplicación, inmediatamente se comunicó con el banco para alertar de los problemas y ayudar a solucionarlos.

La vulnerabilidad se encontraba en la aplicación que el banco usa para los móviles. Con tan solo unas pocas líneas de código, el hacker podía acceder a todas las cuentas. El fallo se encontraba en que la aplicación no contaba con Certificate Pinning (o cadena de certificado), con lo cual se podía dar un ataque de Man-in-the-Middle, es decir, que podía acceder a la información que se intercambia entre el usuario y el servidor sin que ninguna de las partes lo supiera. De esta manera, con certificados fraudulentos basados en SSL, se podía acceder a toda la información sin cifrar.

Además de este fallo, había 2 más relacionados con cómo se accedía y autenticaban los usuarios en la aplicación. Prakash encontró que podía modificar cualquier cuenta de cualquier usuario, ver el balance, y añadir beneficiarios para poder enviar el dinero a otras cuentas. Todo esto sin ni siquiera conocer la contraseña del afectado, y debido a una estructura de acceso insegura.

Junto a este fallo, Prakash también podía hacer transferencias sin necesidad de introducir el PIN ni ningún otro elemento de seguridad de los usados para asegurar que las transferencias son seguras.
Por suerte, y dado que Prakash es un "White Hat Hacker", en lugar de aprovecharse de estos fallos, Prakash avisó al banco, escribiéndoles el código que tenían que ejecutar para poder dar uso a la vulnerabilidad.

A los 12 días le contestaron al e-mail que él envió, cuyo asunto rezaba "Ey, vuestros miles de millones de dólares están en peligro", comunicándole que el fallo había sido subsanado. A pesar de la gravedad del fallo, el banco no remuneró a Prakash con una recompensa.

Fuente: ADSLZone | Sathya Prakash

Suscríbete a nuestro Boletín

4 comentarios:

  1. pues asi sin recompensar demuestran ser ratas, por eso son banqueros y no otro oficio

    ResponderBorrar
  2. yo les hakeo y les robo por no darme mi recompenza

    ResponderBorrar
  3. Este tipo de falta de recompensas frente a una buena acción como esta promueven justamente que haya más personas que se desmotiven por hacerlas y que encuentren una mejor fortuna en ir por el lado oscuro

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!