Un hacker encuentra un fallo que permitía a cualquiera robar 25.000 millones de un banco

Escrito por Alberto García
Virus

Un hacker llamado Sathya Prakash, usuario del banco en cuestión, encontró un fallo en la aplicación de uno de los mayores bancos de la India, que le permitía acceder a cualquier cuenta sin necesidad de usar contraseña. Gracias a esto, el hacker podía acceder a todo el capital del banco y substraerlo. Para probar su hack, Prakash utilizó la aplicación de iOS, utilizando su MacBook Pro como proxy.

El hacker, que se dedica a buscar fallos de seguridad, alertó al banco de la situación, en lugar de aprovecharse y sacar todo el dinero. Lo que más le sorprendió fue la facilidad con la que pudo acceder a los datos de las cuentas de su familia, alguna de las cuales no tenía habilitado ni el acceso móvil.

bancoonline

Acceso a todas las cuentas sin contraseña

La vulnerabilidad se encontraba en la aplicación que el banco usa para los móviles. Con tan solo unas pocas líneas de código, el hacker podía acceder a todas las cuentas. El fallo se encontraba en que la aplicación no contaba con Certificate Pinning (o cadena de certificado), con lo cual se podía dar un ataque de man-in-the-middle, es decir, que podía acceder a la información que se intercambia entre el usuario y el servidor sin que ninguna de las partes lo supiera. De esta manera, con certificados fraudulentos basados en SSL, se podía acceder a toda la información sin encriptar.

Además de este fallo, había 2 más relacionados con cómo se accedía y autenticaban los usuarios en la aplicación. Prakash encontró que podía modificar cualquier cuenta de cualquier usuario, ver el balance, y añadir beneficiarios para poder enviar el dinero a otras cuentas. Todo esto sin ni siquiera conocer la contraseña del afectado, y debido a una estructura de acceso insegura.

Junto a este fallo, Prakash también podía hacer transferencias sin necesidad de introducir el PIN ni ningún otro elemento de seguridad de los usados para asegurar que las transferencias son seguras.

El banco tuvo suerte de que Prakash sea un “white hat hacker”

Consola Bash

Por suerte, y dado que Prakash es un “white hat hacker” (hacker que pone a prueba los sistemas de seguridad de alguna organización), en lugar de aprovecharse de estos fallos, Prakash avisó al banco, escribiéndoles el código que tenían que ejecutar para poder dar uso a la vulnerabilidad.

A los 12 días le contestaron al e-mail que él envió, cuyo asunto rezaba “Ey, vuestros miles de millones de dólares están en peligro”, comunicándole que el fallo había sido subsanado. A pesar de la gravedad del fallo, el banco no remuneró a Prakash con una recompensa.

Quizá te interese…

Los hackers siguen usando las mismas técnicas que hace seis años para infectar nuestros ordenadores

¿Crees que alguien ha entrado en tu cuenta? Cambiar la contraseña no es suficiente

Consiguen robar 272 millones de cuentas de Gmail, Yahoo y Microsoft

Fuente > Boris-info

Vía > The Hacker News

Continúa leyendo
Comentarios
3 comentarios
  1. El Dioni
    Usuario no registrado
    18 May, 16 1:00 pm

    Yo encuentro un fallo de esos y no me ven más el pelo…..

    1. ccartola 18 May, 16 1:01 pm

      El pelo hace mucho que no se te ve, XDDD

  2. sakun-ice 18 May, 16 5:45 pm

    Si, pero según comenta la noticia, para hacer eso hay que estar fisicamente entre el usuario y la conexión a internet en el momento del logueo, lo cual hace que no pueda hacer tanto de lo que comenta el artículo, que es mas sensacionalista que otra cosa.