Um pesquisador de segurança indiano provou que era possível burlar completamente a segurança de um banco público na Índia com nada mais que 13 linhas de código e alguns cliques.
Sathya Prakash chegou a transferir fundos da conta de familiares, com consentimento deles, para sua conta explorando uma vulnerabilidade no aplicativo móvel oficial do banco.
O caso aconteceu no final do ano passado, mas Prakash só revelou sua descoberta recentemente. Ele preservou o anonimato da instituição bancária afetada e afirma que a falha de segurança já foi consertada, ainda que apenas 12 dias depois do pesquisador ter entrado em contato e informado sobre as vulnerabilidades encontradas.
De acordo com seus estudos, o aplicativo móvel para iOS e Android do banco indiano continha uma grande quantidade de falhas críticas que poderiam ser exploradas. Em um dos equívocos cometidos pela equipe de desenvolvimento, o aplicativo verificava por atualizações automaticamente utilizando a ID do usuário, sem nenhuma proteção. Essa mesma ID poderia ser utilizada em uma conexão para solicitar informações sobre a conta, literalmente passando por cima do processo de autenticação.
Essa mesma ID não era expirada nos servidores do banco, mas dependia de um comando enviado pelo aplicativo para encerrar a sessão. Sem o envio do comando, a autenticação na prática se tornava eterna. O sistema também não possuía travas de proteção para verificar se determinados comandos, como transferência de fundos, podiam ser executados por alguém que não fosse o proprietário da conta.
De posse de essas e outras vulnerabilidades, Prakash criou uma rotina de 13 linhas de código que colocava o banco sob seu comando: “eu fui capaz de transferir dinheiro de qualquer conta de origem para qualquer conta de destino, usando minha própria CID (customer ID) válida e um MTPIN (transaction authorisation PIN). Eu testei com um punhado de contas pertencentes à minha família. Algumas dessas contas não tinham nem mesmo Internet Banking ou mobile banking ativados. E todos funcionaram com perfeição”.
Apesar das falhas de segurança terem sido corrigidas de acordo com a denúncia de Sathya Prakash, o pesquisador não recebeu nada pelo seu trabalho, uma vez que o banco não possui um programa de recompensas para esses casos. Os responsáveis pela área de TI e segurança do banco agradeceram as sugestões e nunca mais entraram em contato.
