Hãng bảo mật CloudSEK (Ấn Độ) cho biết, trong số 13.000 ứng dụng được tải lên công cụ tìm kiếm bảo mật BeVigil dành cho các ứng dụng di động, có khoảng 250 ứng dụng sử dụng API Razorpay để giao dịch tài chính. Trong đó, khoảng 5% trong số này đã bị lộ khóa ID tích hợp thanh toán và khóa bí mật. Lỗ hổng không tồn tại trong Razorpay mà xuất phát từ việc các nhà phát triển ứng dụng đang xử lý các API không đúng cách.
Khi nhắc đến các cổng thanh toán, khóa API là sự kết hợp giữa key_id và key_secret để thực hiện các truy vấn API đến nhà cung cấp dịch vụ thanh toán. Trong quá trình tích hợp, các nhà phát triển đã vô tình nhúng khóa API vào source code. Mặc dù, các nhà phát triển có thể nhận thức được việc để lộ khóa API trong ứng dụng di động nhưng họ có thể không lường trước hệ quả gây ra cho toàn bộ hệ sinh thái.
CloudSEK cho biết thêm: một loạt các doanh nghiệp lớn nhỏ phục vụ cho hàng triệu người dùng có các ứng dụng dành cho thiết bị di động với các khóa API được mã hóa cứng trong các gói ứng dụng. Các khóa này có thể dễ dàng bị phát hiện bởi tin tặc hoặc đối thủ cạnh tranh và có thể sử dụng chúng để thâm nhập dữ liệu và mạng của người dùng.
Các dữ liệu có thể bị lộ lọt bao gồm thông tin người dùng như số điện thoại, địa chỉ email, ID và số tiền giao dịch cũng như chi tiết đơn đặt hàng và tiền hoàn lại. Ngoài ra, các ứng dụng tương tự nhau thường được tích hợp với các ứng dụng và ví khác làm rủi ro có thể tăng cao hơn.
Kẻ tấn công có thể sử dụng thông tin API bị lộ để mua hàng số lượng lớn và sau đó kích hoạt các giao dịch hoàn tiền, bán dữ liệu bị đánh cắp trên chợ đen hoặc sử dụng để khởi động các cuộc tấn công kỹ thuật xã hội như lừa đảo.
Tất cả 10 API bị rò rỉ hiện đã bị vô hiệu hóa. Tuy nhiên, CloudSEK khuyến cáo các nhà phát triển sớm nhận ra nguy cơ tiềm ẩn và thiết lập quy trình để ngăn lỗ hổng leo thang. Vì việc vô hiệu hóa khóa tích hợp thanh toán sẽ khiến ứng dụng ngừng hoạt động, ảnh hưởng đến người dùng và tổn thất tài chính.
Theo hãng CloudSEK: “Nên có một cơ chế để các nhà phát triển ứng dụng có thể giới hạn những gì có thể được thực hiện bằng cách sử dụng một khóa ở cấp độ chi tiết, giống như AWS đã làm. AWS đã đưa ra các chính sách quản lý truy cập và nhận dạng (IAM) có thể được sử dụng để định cấu hình quyền của mọi hoạt động trên nhóm S3. Phương thức này nên được áp dụng rộng rãi hơn để giảm thiểu những gì mà các tác nhân đe dọa có thể làm với các khóa API bị lộ”.
M.H
09:00 | 12/03/2021
12:00 | 27/10/2021
09:00 | 19/02/2019
15:00 | 16/09/2021
09:00 | 19/04/2022
22:00 | 30/01/2025
Kênh truyền thông đa phương tiện Fox News tại Mỹ đưa ra cảnh báo về phương thức lừa đảo trực tuyến mới thông qua tin nhắn email giả mạo dịch vụ an ninh và bảo mật của Windows. Mục đích của kẻ tấn công là chiếm quyền điều khiển máy tính của nạn nhân thông qua phần mềm điều khiển từ xa để đánh cắp dữ liệu.
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
16:00 | 18/12/2024
Các nhà nghiên cứu của hãng bảo mật Cleafy (Ý) đã đưa ra cảnh báo về một loại phần mềm độc hại ngân hàng Android mới có tên là DroidBot, hiện đang nhắm mục tiêu để đánh cắp thông tin đăng nhập của hơn 77 sàn giao dịch tiền điện tử và ứng dụng ngân hàng tại Vương quốc Anh, Ý, Pháp, Tây Ban Nha và Bồ Đào Nha.
08:00 | 15/11/2024
Hơn 30 lỗ hổng bảo mật đã được tiết lộ trong nhiều mô hình trí tuệ nhân tạo (AI) và máy học (ML) nguồn mở khác nhau. Đáng lưu ý, một số trong đó có thể dẫn đến thực thi mã từ xa và đánh cắp thông tin.
Năm 2025 được dự báo sẽ chứng kiến sự gia tăng các cuộc tấn công mạng, với sự xuất hiện và phát triển mạnh mẽ của những phần mềm độc hại nhắm vào cả cá nhân lẫn tổ chức trên toàn cầu. Bài viết tập trung nghiên cứu và phân tích 5 mối đe dọa phần mềm độc hại hàng đầu được dự báo sẽ gây ảnh hưởng lớn nhất trong năm nay. Từ những dòng mã độc tống tiền tinh vi đến trojan đánh cắp thông tin và công cụ truy cập từ xa. Những mối đe dọa này không chỉ đặt ra thách thức lớn cho các chuyên gia an ninh mạng mà còn yêu cầu sự chuẩn bị kỹ lưỡng từ mọi tổ chức và cá nhân.
10:00 | 06/02/2025