Clever Geek Handbook

Alfa-Bank Ukraineの脆弱性:電話番号によるクライアント名の取得

Alfa-Bank Ukraineは、すべてのウクライナの銀行の中でアクティブなカードの数でトップ5に入っており、My Alfa-Bankのインターネットバンキングが非常に優れています。



電話番号で別のクライアントに資金を移動する機能があります。お金を移動するには、受取人の電話番号を示すだけで十分で、カード番号を示す必要はありません。



長い間、電話番号によるp2p転送機能は特定の条件下で機能していました。受信者が電話番号を持ち、アルファバンクウクライナで給与(つまり給与)カードが発行されている場合。



少し前のことですが、今年3月の終わりに、銀行は給与だけでなく、すべての銀行顧客に対してMy Alfa-Bankインターネットバンキングで電話番号によるp2p転送を実装しました



私はクライアントの電話番号でクライアントに関するデータを取得する機能をテストすることにしました。



アルファ銀行に口座を持っている親relativeの金額と電話番号を入力し、「次へ」をクリックします。









次のページで、お金が正しい人に送られるように、銀行はクライアントの名前を偽装して示します。姓の一部はアスタリスクでマスクされ、名前とミドルネームは最初の文字でのみ示されます。架空の ):









もちろん、資金が送金された場合、受取人の氏名が表示されます。 ただし、受信者には私のものも表示されます。この時点で検証は完了です。



このテストの詳細を見るために、最後の操作に目を向けます。







興味深いことはありません-そのような操作にカーソルを合わせると、興味のあるデータはありません。





その後、5月に、携帯電話番号によるアルファバンク顧客間の転送機能がモバイルアプリケーションに登場しました。



そして、モバイルアプリケーションでの作業は異なる方法で実装できることを知って、Androidでテストすることにしました。



データ(金額と電話番号)を入力し、SMSからコードを入力すると、同じ画像が表示されます。名前がマスクされています。







顧客には良いが、ごめんなさい。 操作をキャンセルします。



ただし、Webバージョンの最近の操作でこの振替を確認します。モバイルアプリケーションで確認した支払いの詳細には、「支払いの送信者」フィールドと「受取人」フィールドが表示されます。







はい、脆弱性が見つかりました。



したがって、問題はまさにモバイルアプリケーションで作成された操作の表示にあります。お金を送らなくても、電話番号で顧客の現在の名前を受け取ることができます。 このようなクライアントは最大115万個(NBUによるとアクティブカードの数)になりますが、システムにクライアントを登録する必要があります。



私は、モバイルアプリケーションで実行される操作中にフィールドの転送を完了する必要がある(または、この操作の他の段階で行われたように、そこからデータをマスクする)サイトで見つかったアドレスに銀行に書き込みます、そして問題は解決されます。



イベントのタイムライン:



5月30日-問題の詳細な説明が記載されたスクリーンショット付きのパスワードで保護されたドキュメントへのリンクを示す最初の文字。



6月7日-反応についての質問を繰り返した手紙、私は答えを得る:「 問題を解決するためにテキスト形式で問題を説明します(必要に応じて画面を追加します) 」、答えを送信します。



6月26日-状況を修正するかどうか、いつ修正するかを尋ねる2番目の手紙。 次の答えが得られます。「 固定の提案は、さらなるアクションの計画に考慮して含めるために、コアユニットに送信されます。 固定提案の実装は、リソース、実装の複雑さ、すでに実装中のプロジェクトなど、さまざまな要因に依存します。 銀行が受け取った提案に対してフィードバックは提供さません 。 問題が何であるかを明確に示し、スクリーンショットを添付して解決策を提案しました。



7月7日-当然、動きはなく、友人を通して問題を明確にしようとしました。

チェック中に、エラーがプラットフォームに依存せず、Webバージョンでも再現されることが判明しました:電話番号で所有者の名前を取得するためにアプリケーションとWebサイトを使用する必要がなくなりました-インターネットバンキングで資金を送金せずにクライアントの名前を簡単に見つけることができます;



8月8日-見つかったエラーが銀行によって数か月間修正されなかった方法に関する情報を公開したいと銀行に書き込みます。 「 提供された情報は銀行の適切な部門に送信され、バックログに追加されるという回答を受け取りましたが、現時点では変更はありません 」および「 開発部門は提供された情報がインターネットサービスの脆弱性に影響を与えるとは考えていませんが、しかし、私たちはそれを考慮に入れました。より良くなるために私たちを助けてくれてありがとう。誠意をこめて、アルファバンク!





結果:5月末から現時点では、この脆弱性は修正されていません-電話番号を使用すると、転送を行わずにクライアントの名前を取得できます(インターネットバンキングの不完全なトランザクションの詳細を参照)。


More articles:


All Articles