India Security Researcher Jiten Jain hari ini mengungkapkan bahwa salah satu Bank Swasta Terbesar di India, e-Banking situs HDFC Bank bisa menjadi sasaran empuk tipe unik dari Denial of Service Attack yang dapat mengakibatkan pemblokiran e-banking semua akun pelanggan. Berikut adalah laporan rinci dari kerentanan disampaikan olehnya.
Layanan Netbanking dari HDFC Bank, yang merupakan salah satu Bank terbesar dan paling terkenal di India, benar-benar rentan terhadap pencurian ID, phishing Target dan Blokade Akun Mass. HDFC Bank telah mengimplementasikan solusi keamanan tambahan yang disebut 'Secure Access' di situsnya tapi bukan itu telah memberikan pintu tersembunyi untuk hacker untuk memblokir semua rekening Netbanking HDFC. 'Secure Access' adalah lapisan tambahan keamanan menerapkan di website Bank HDFC pada dasarnya adalah sebuah solusi melindungi akun Anda dari hacker dan penipu. Akses aman, sebuah inisiatif keamanan online dimaksudkan untuk melakukan transaksi Netbanking lebih aman dengan melindungi pengguna dari situs-situs phishing dan Hacker dan membantu pengguna mengotentikasi situs HDFC asli. Login HDFC Bank Netbanking sekarang menjadi proses dua langkah dengan gambar Secure Access dan verifikasi teks. Biarkan kami membawa Anda melalui langkah-langkah yang terlibat dalam Secure Access dan bagaimana hal itu bermaksud untuk melindungi account Netbanking pelanggan HDFC.Biarkan kami membawa Anda melalui langkah-langkah yang terlibat dalam Secure Access dan bagaimana hal itu bermaksud untuk melindungi account Netbanking pelanggan HDFC.
1) Dalam Pengguna Langkah Pertama harus menyediakan nya pelanggan-id (User Id) pada layar pertama
2) Pengguna kemudian dibawa ke layar berikutnya di mana ia ditampilkan gambar pribadi dan pesan dan diminta untuk memasukkan Ipin nya (password).
Demo presentasi karya akses yang aman dapat dilihat di website HDFC di akses URL berikut http://www.hdfcbank.com/assets/demo/secure_access.swf aman yang diklaim sebagai multi-layered Proses Otentikasi wajib mengharuskan pengguna untuk HDFC Netbanking mendaftar untuk itu jika mereka ingin melakukan APAPUN Transaksi Pihak Ketiga seperti Mentransfer Uang, pemesanan tickers film, pengisian telepon.
Selama penelitian pada aplikasi Banking HDFC Mobile dan Portal Netbanking ditemukan bahwa saat implementasi aman Akses HDFC Bank telah berkompromi pada prinsip pertama dan utama dari otentikasi pengguna pada website Perbankan yaitu Jangan pernah mengungkapkan apakah Nama Pengguna atau password yang salah dalam Kasus kombinasi yang salah dimasukkan.
Sejak pelaksanaan Secure akses mengharuskan pengguna untuk hanya memasukkan ID Pelanggan nya (Nama pengguna tetap dalam kasus HDFC Bank Netbanking pengguna. Sistem kemudian memeriksa di backend jika pengguna terdaftar untuk Secure Access atau Netbanking, jika pengguna tidak terdaftar atau pengguna yang valid, id pelanggan diminta lagi Namun dalam kasus jika id pelanggan ditemukan benar dan terdaftar, Pengguna diambil untuk langkah kedua dan menunjukkan akses aman nya gambar dan teks yang dipilih dan diminta untuk memasukkan kata sandi..
1.) 1 Sekarang ini langkah 1 dari verifikasi id pelanggan dan menunjukkan citra akses pribadi yang aman dan teks telah membuat Bank HDFC rentan terhadap koleksi id pelanggan Blind. Kami mengeksploitasi kelemahan ini dengan menjalankan suite otomatis dengan id pelanggan dengan menghasilkan acak secara berurutan (misalnya dari 434XXXX ke 515XXXXXX) dan login di website Netbanking HDFC menggunakan mereka. Id pelanggan yang menunjukkan akses yang aman dan gambar dan teks yang dicatat dan sisanya dibuang. Gambar Akses aman dan teks yang ditampilkan untuk id pelanggan berlaku juga disimpan. Sekarang dengan proses di atas, kita mampu mencapai 3 hal. Itu mengejutkan untuk melihat bahwa teks aman itu ditampilkan sebagai teks sederhana dan bukan gambar teks.
Dengan langkah pertama ini otomatis masuk, kami mampu menciptakan Database Id pelanggan beberapa pengguna Netbanking HDFC. Kita bisa membuat database yang lengkap dari setiap pengguna Netbanking tapi karena percobaan ini dilakukan dengan motif memeriksa keamanan di situs perbankan, hanya data sampel dikumpulkan. Kami memutuskan untuk menghancurkan data ini kemudian setelah menyelesaikan Demonstrasi ini.
2) Kami kemudian setup sebuah portal phishing untuk perbankan Bersih HDFC dan menciptakan HDFC palsu Netbanking aplikasi Mobile dan mencobanya pada beberapa orang. Dalam aplikasi palsu mobile kami HDFC dan portal phishing kami mampu meniru perilaku Access persis sama aman seperti di website HDFC asli menggunakan database ID Pelanggan pengguna Netbanking dan aman akses mereka gambar dan teks yang kita buat tadi. Karena situs kami menunjukkan gambar yang sama Access aman dan teks pada id pelanggan memasuki kami menggunakan fitur keamanan mereka untuk memberikan tampilan yang lebih otentik ke website phishing dan aplikasi Mobile. Situasi lebih buruk bagi aplikasi mobile palsu karena pengguna Handphone bahkan tidak bisa melihat URL, menyisihkan kesempatan untuk keraguan dalam pikiran pengguna. Beberapa pengguna dipercaya situs phishing dan aplikasi mobile dan mencoba untuk login dengan password mereka.
3) Sekarang di langkah ketiga Killing kami meluncurkan serangan penolakan layanan pada situs web dengan memblokir beberapa account pengguna. Sejak Access kerentanan otentikasi aman telah membantu kami membuat database id pelanggan pengguna Netbanking HDFC kami meluncurkan program lain yang sederhana pergi pada situs web Netbanking HDFC dan memberikan id pelanggan dari database kami pada halaman login HDFC Netbanking.
Saat kami menyediakan Id Pelanggan berlaku, ketika ditanya untuk Ipin / Sandi kami masuk tidak benar 5 kali yang mengakibatkan para pelanggan diblokir dari Netbanking. Kami menggunakan proxy untuk memotong rantai waktu dan cek urutan tetapi terkejut untuk mengetahui bahwa situs HDFC memiliki NONE dan kami dapat dengan mudah memblokir account pengguna beberapa.
Karena kami dipandu oleh ideologi hacking etis kita melakukan penelitian atas pada data sampel Tapi ini cacat dalam otentikasi dapat dengan mudah digunakan oleh siapa saja untuk menghasilkan Database Id Pelanggan Pengguna Netbanking HDFC dan benar-benar Blokir semua account Netbanking dari semua pengguna Netbanking HDFC . Hal yang sama mungkin digunakan oleh penjahat atau pesaing bank HDFC untuk menahan harfiah layanan Netbanking seluruh Bank HDFC untuk tebusan dengan berulang kali memblokir account bahkan jika mereka diaktifkan lagi. Kerentanan ini juga menimbulkan pertanyaan besar, Apakah Kita melupakan prinsip dasar Keamanan dalam lomba mencoba solusi keamanan?
x - x - x
Sementara Berbicara kepada "The Hacker News", Pak Jiten mengungkapkan bahwa telah berbagi laporan kerentanan atas dengan Bank HDFC pada bulan Februari sendiri untuk memberikan mereka waktu yang cukup untuk memperbaiki kerentanan di atas. Laporan tentang kurang keamanan pada situs perbankan online adalah HDFC pukulan kepada Bank HDFC yang sudah menghadapi kritik untuk transaksi gelap dan saat ini sedang dalam penyelidikan Uang Black oleh Pemerintah India.
3) Sekarang di langkah ketiga Killing kami meluncurkan serangan penolakan layanan pada situs web dengan memblokir beberapa account pengguna. Sejak Access kerentanan otentikasi aman telah membantu kami membuat database id pelanggan pengguna Netbanking HDFC kami meluncurkan program lain yang sederhana pergi pada situs web Netbanking HDFC dan memberikan id pelanggan dari database kami pada halaman login HDFC Netbanking.
Saat kami menyediakan Id Pelanggan berlaku, ketika ditanya untuk Ipin / Sandi kami masuk tidak benar 5 kali yang mengakibatkan para pelanggan diblokir dari Netbanking. Kami menggunakan proxy untuk memotong rantai waktu dan cek urutan tetapi terkejut untuk mengetahui bahwa situs HDFC memiliki NONE dan kami dapat dengan mudah memblokir account pengguna beberapa.
Karena kami dipandu oleh ideologi hacking etis kita melakukan penelitian atas pada data sampel Tapi ini cacat dalam otentikasi dapat dengan mudah digunakan oleh siapa saja untuk menghasilkan Database Id Pelanggan Pengguna Netbanking HDFC dan benar-benar Blokir semua account Netbanking dari semua pengguna Netbanking HDFC . Hal yang sama mungkin digunakan oleh penjahat atau pesaing bank HDFC untuk menahan harfiah layanan Netbanking seluruh Bank HDFC untuk tebusan dengan berulang kali memblokir account bahkan jika mereka diaktifkan lagi. Kerentanan ini juga menimbulkan pertanyaan besar, Apakah Kita melupakan prinsip dasar Keamanan dalam lomba mencoba solusi keamanan?
x - x - x
Sementara Berbicara kepada "The Hacker News", Pak Jiten mengungkapkan bahwa telah berbagi laporan kerentanan atas dengan Bank HDFC pada bulan Februari sendiri untuk memberikan mereka waktu yang cukup untuk memperbaiki kerentanan di atas. Laporan tentang kurang keamanan pada situs perbankan online adalah HDFC pukulan kepada Bank HDFC yang sudah menghadapi kritik untuk transaksi gelap dan saat ini sedang dalam penyelidikan Uang Black oleh Pemerintah India.
sources: The Hacker News
0komentar:
Post a Comment