黑客发现了可以让任何人从银行窃取250亿美元的漏洞

250亿美元来自印度最大的银行之一‒；多亏了银行易受攻击的移动应用程序。

去年年底，安全研究员萨提亚·普拉卡什在一家未公开的银行的手机银行应用程序中发现了多个关键漏洞，该漏洞允许他只需几行代码就可以从任何或所有银行客户那里窃取资金。

作为一名白帽黑客，Prakash立即联系该银行，提醒其移动应用程序中的关键问题，并帮助该银行解决这些问题，而不是利用安全漏洞从该银行窃取约250亿美元的存款。

在分析该手机银行应用程序时，Prakash发现该应用程序缺少证书固定，使得任何中间人攻击者都可以降级SSL连接，并使用欺诈性颁发的证书捕获纯文本请求。


除此之外，Prakash还发现，该手机银行应用程序具有不安全的登录会话架构，允许攻击者在不知道登录密码的情况下代表目标账户持有人执行关键操作，比如查看受害者的当前账户余额和存款，以及增加新的受益人和进行非法转让。

Prakash在他的博客文章中写道：“因此，通过CURL直接调用资金转账API调用，绕过了接收方/受益人账户验证。我能够将资金转账到不在我的受益人名单上的账户。”。

“列举银行的客户记录（活期账户余额和存款）只需5行代码（利用漏洞）。”

从别人的账户上偷钱

如果这还不够，Prakash发现应用程序没有检查给定的客户ID或交易授权PIN（MTPIN）和#8210；用于转移资金、创建新的定期存款等关键控制‒；实际上属于发件人的帐户。

据主板报道，手机银行应用程序中的这一错误可能会让任何拥有该应用程序和银行账户的人从其他人的账户转账。

Prakash补充道：“我用一大堆属于我家人的账户测试了（黑客攻击）。这些账户中很少有没有网络银行或手机银行被激活。”。“这一切都很有魅力。”

然而，普拉卡什没有利用这些漏洞，而是在2015年11月13日负责地给银行发了一封电子邮件。几天之内，银行副总经理通知他，安全漏洞已经修复，但没有奖励他漏洞奖金，这是不公平的。