Hãng bảo mật CloudSEK (Ấn Độ) cho biết, trong số 13.000 ứng dụng được tải lên công cụ tìm kiếm bảo mật BeVigil dành cho các ứng dụng di động, có khoảng 250 ứng dụng sử dụng API Razorpay để giao dịch tài chính. Trong đó, khoảng 5% trong số này đã bị lộ khóa ID tích hợp thanh toán và khóa bí mật. Lỗ hổng không tồn tại trong Razorpay mà xuất phát từ việc các nhà phát triển ứng dụng đang xử lý các API không đúng cách.
Khi nhắc đến các cổng thanh toán, khóa API là sự kết hợp giữa key_id và key_secret để thực hiện các truy vấn API đến nhà cung cấp dịch vụ thanh toán. Trong quá trình tích hợp, các nhà phát triển đã vô tình nhúng khóa API vào source code. Mặc dù, các nhà phát triển có thể nhận thức được việc để lộ khóa API trong ứng dụng di động nhưng họ có thể không lường trước hệ quả gây ra cho toàn bộ hệ sinh thái.
CloudSEK cho biết thêm: một loạt các doanh nghiệp lớn nhỏ phục vụ cho hàng triệu người dùng có các ứng dụng dành cho thiết bị di động với các khóa API được mã hóa cứng trong các gói ứng dụng. Các khóa này có thể dễ dàng bị phát hiện bởi tin tặc hoặc đối thủ cạnh tranh và có thể sử dụng chúng để thâm nhập dữ liệu và mạng của người dùng.
Các dữ liệu có thể bị lộ lọt bao gồm thông tin người dùng như số điện thoại, địa chỉ email, ID và số tiền giao dịch cũng như chi tiết đơn đặt hàng và tiền hoàn lại. Ngoài ra, các ứng dụng tương tự nhau thường được tích hợp với các ứng dụng và ví khác làm rủi ro có thể tăng cao hơn.
Kẻ tấn công có thể sử dụng thông tin API bị lộ để mua hàng số lượng lớn và sau đó kích hoạt các giao dịch hoàn tiền, bán dữ liệu bị đánh cắp trên chợ đen hoặc sử dụng để khởi động các cuộc tấn công kỹ thuật xã hội như lừa đảo.
Tất cả 10 API bị rò rỉ hiện đã bị vô hiệu hóa. Tuy nhiên, CloudSEK khuyến cáo các nhà phát triển sớm nhận ra nguy cơ tiềm ẩn và thiết lập quy trình để ngăn lỗ hổng leo thang. Vì việc vô hiệu hóa khóa tích hợp thanh toán sẽ khiến ứng dụng ngừng hoạt động, ảnh hưởng đến người dùng và tổn thất tài chính.
Theo hãng CloudSEK: “Nên có một cơ chế để các nhà phát triển ứng dụng có thể giới hạn những gì có thể được thực hiện bằng cách sử dụng một khóa ở cấp độ chi tiết, giống như AWS đã làm. AWS đã đưa ra các chính sách quản lý truy cập và nhận dạng (IAM) có thể được sử dụng để định cấu hình quyền của mọi hoạt động trên nhóm S3. Phương thức này nên được áp dụng rộng rãi hơn để giảm thiểu những gì mà các tác nhân đe dọa có thể làm với các khóa API bị lộ”.
M.H
09:00 | 12/03/2021
12:00 | 27/10/2021
09:00 | 19/02/2019
15:00 | 16/09/2021
09:00 | 19/04/2022
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
08:00 | 17/04/2024
