Hãng bảo mật CloudSEK (Ấn Độ) cho biết, trong số 13.000 ứng dụng được tải lên công cụ tìm kiếm bảo mật BeVigil dành cho các ứng dụng di động, có khoảng 250 ứng dụng sử dụng API Razorpay để giao dịch tài chính. Trong đó, khoảng 5% trong số này đã bị lộ khóa ID tích hợp thanh toán và khóa bí mật. Lỗ hổng không tồn tại trong Razorpay mà xuất phát từ việc các nhà phát triển ứng dụng đang xử lý các API không đúng cách.
Khi nhắc đến các cổng thanh toán, khóa API là sự kết hợp giữa key_id và key_secret để thực hiện các truy vấn API đến nhà cung cấp dịch vụ thanh toán. Trong quá trình tích hợp, các nhà phát triển đã vô tình nhúng khóa API vào source code. Mặc dù, các nhà phát triển có thể nhận thức được việc để lộ khóa API trong ứng dụng di động nhưng họ có thể không lường trước hệ quả gây ra cho toàn bộ hệ sinh thái.
CloudSEK cho biết thêm: một loạt các doanh nghiệp lớn nhỏ phục vụ cho hàng triệu người dùng có các ứng dụng dành cho thiết bị di động với các khóa API được mã hóa cứng trong các gói ứng dụng. Các khóa này có thể dễ dàng bị phát hiện bởi tin tặc hoặc đối thủ cạnh tranh và có thể sử dụng chúng để thâm nhập dữ liệu và mạng của người dùng.
Các dữ liệu có thể bị lộ lọt bao gồm thông tin người dùng như số điện thoại, địa chỉ email, ID và số tiền giao dịch cũng như chi tiết đơn đặt hàng và tiền hoàn lại. Ngoài ra, các ứng dụng tương tự nhau thường được tích hợp với các ứng dụng và ví khác làm rủi ro có thể tăng cao hơn.
Kẻ tấn công có thể sử dụng thông tin API bị lộ để mua hàng số lượng lớn và sau đó kích hoạt các giao dịch hoàn tiền, bán dữ liệu bị đánh cắp trên chợ đen hoặc sử dụng để khởi động các cuộc tấn công kỹ thuật xã hội như lừa đảo.
Tất cả 10 API bị rò rỉ hiện đã bị vô hiệu hóa. Tuy nhiên, CloudSEK khuyến cáo các nhà phát triển sớm nhận ra nguy cơ tiềm ẩn và thiết lập quy trình để ngăn lỗ hổng leo thang. Vì việc vô hiệu hóa khóa tích hợp thanh toán sẽ khiến ứng dụng ngừng hoạt động, ảnh hưởng đến người dùng và tổn thất tài chính.
Theo hãng CloudSEK: “Nên có một cơ chế để các nhà phát triển ứng dụng có thể giới hạn những gì có thể được thực hiện bằng cách sử dụng một khóa ở cấp độ chi tiết, giống như AWS đã làm. AWS đã đưa ra các chính sách quản lý truy cập và nhận dạng (IAM) có thể được sử dụng để định cấu hình quyền của mọi hoạt động trên nhóm S3. Phương thức này nên được áp dụng rộng rãi hơn để giảm thiểu những gì mà các tác nhân đe dọa có thể làm với các khóa API bị lộ”.
M.H
09:00 | 12/03/2021
12:00 | 27/10/2021
09:00 | 19/02/2019
15:00 | 16/09/2021
09:00 | 19/04/2022
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024
