Уразливість в одному з сервісів Альфа-Банку дозволяла переглядати виписки по кожному клієнту

Місяць тому, переглядаючи мобільний додаток для інтернет-банкінгу від Альфа-Банку, вирішив перевірити, наскільки воно безпечне.


Так як я є клієнтом цього банку, мені було цікаво, чи приділяють вони належну увагу безпечного зберігання даних клієнтів. Уточню, що я є клієнтом української філії і відповідно мав можливість перевіряти тільки ту частину мобільного додатка, яка призначена для українських клієнтів.



Підготовка.
Для відстеження трафіку, переданого мобільним додатком на сервер встановлюємо Fiddler.
Програма вкрай проста у використанні, встановлюється і налаштовується за інструкцією досить легко. Додатково в налаштуваннях програми потрібно включити декриптование https трафіку
У телефоні у налаштуваннях wi-fi потрібно вказати адресу проксі, поднимаемый цим додатком і для того, щоб програма могла розшифровувати мобільний HTTPS трафік, нам потрібно додатково встановити сертифікат (IOS, Чоловічий).

Після всіх цих дій запускаємо Fiddler і мобільний додаток Альфа-Банк. Тепер всі запити, що надсилаються мобільним телефоном, будуть відображатися в Fiddler. У нашому випадку це виявився SOAP протокол із запитами в форматі XML.


Тепер трохи про процес пошуку вразливостей.

Я шукав типові помилки, які допускають розробники. Найпоширеніша з них — це відсутність перевірки прав доступу при запиті з використанням ідентифікатора. Пошук помилок робимо наступним чином. Беремо запит мобільного додатку, залогированный Fiddler і відтворюємо його в браузері Google Chrome за допомогою плагіна «Postman».


В цьому запиті замінюємо цілочисельний ідентифікатор більше чи менше значення і перевіряємо відповідь сервера. Якщо сервер поверне помилку або порожній запит — то все добре, якщо дані клієнта, значить є вразливість. Довго шукати не довелося. При запиті на формування виписки, була відсутня перевірка на права доступу. Для доступу до даних використовувався такий ідентифікатор, як cardContractId. Збільшуючи або зменшуючи його значення, можна було отримувати виписки інших користувачів.

В той же день мною було надіслано повідомлення про знайдену уразливість через сайт Альфа-Банку, але протягом кількох днів, не отримавши відповіді, я подзвонив в клієнтську службу і попросив, що б зі мною зв'язалася служба безпеки. Слід віддати належне, співробітник СБ передзвонив мені в той же день і по закінченню трохи більше тижня вразливість була усунена.

Однак хотілося б звернутися до керівництва підрозділу банку, що відповідає за розробку програмних продуктів. Сервіси банку активно розвиваються і обростають функціоналом, в якому, хочете ви цього чи ні, з'являються уразливості. Існуючі канали зв'язку практично не реагують при надсилання запиту в електронній формі. Наприклад, два мої повідомлення про XSS уразливість на інших ресурсах Альфа-Банку, подані кілька місяців тому, так і залишилися без відповіді.

Організуйте окремий канал зв'язку для подачі заявок по знайдених вразливостей і створіть програму заохочення. Такі програми існують у Google, Amazon, Yandex і навіть у Приватбанку і вони дуже ефективно допомагають в оперативному закриття дірок в безпеці. Не чекайте, поки зловмисники почнуть експлуатувати знайдені вразливості і клієнти повідомлять вам про проблеми вже по факту.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.