samedi, mai 18, 2024

ThePressFree

Blog d'actualité

Crypto monnaie 

De nouvelles recherches montrent que des vulnérabilités dans les API bancaires, d’échange de crypto-monnaie et de technologie financière permettent des transactions non autorisées et des modifications de code PIN des clients

ThePressFree Aucun commentaire


Une recherche parrainée par Noname Security par Alissa Knight, chercheuse en vulnérabilité, souligne la nécessité pour le secteur des services financiers de donner la priorité à la sécurité des API

LAS VEGAS, le 26 octobre 2021–(BUSINESS WIRE)–Noname Security, la société de sécurité des API, et Alissa Knight, partenaire chez Knight Ink et restauratrice de hackers, ont annoncé aujourd’hui à Money 20/20 une nouvelle recherche, « Scorched Earth: Hacking Bank APIs », qui dévoile un certain nombre des vulnérabilités dans les secteurs de la banque, de l’échange de crypto-monnaie et de la FinTech. Les détails de cette nouvelle recherche seront partagés lors du discours d’ouverture de Knight à Money 20/20 aujourd’hui à 15h25 PST.

La banque ouverte a propulsé l’utilisation omniprésente des API dans l’ensemble de la banque, permettant aux développeurs tiers de développer des applications autour de l’institution financière. Qu’il s’agisse d’une exigence de conformité ou d’une stratégie commerciale, l’open banking a incité les sociétés de services financiers à se concentrer sur les API et la sécurité des API.

Compte tenu de cette tendance croissante, Knight a concentré ses recherches sur la vulnérabilité sur les services financiers et les sociétés FinTech et a pu accéder à 55 banques via leurs API, ce qui lui a permis de modifier les codes PIN des clients et de transférer de l’argent dans et hors des comptes clients. Les cibles vulnérables allaient d’entreprises comptant de 25 000 à 68 millions de clients et de 2,3 à 7 700 milliards de dollars d’actifs sous gestion. Parmi les principaux résultats de la recherche :

  • 54 des 55 applications mobiles qui ont fait l’objet d’une ingénierie inverse contenaient des clés API et des jetons codés en dur, y compris des noms d’utilisateur et des mots de passe pour des services tiers

  • Les 55 applications testées étaient vulnérables aux attaques de la femme du milieu (WITM), permettant à Knight d’intercepter et de déchiffrer le trafic chiffré entre les applications mobiles et les API backend

  • 100 % des API testées étaient vulnérables aux vulnérabilités de l’autorisation au niveau de l’objet brisé (BOLA), permettant à Knight de modifier le code PIN du numéro de carte de débit Visa ATM de n’importe quel client de la banque ou de transférer de l’argent vers/depuis des comptes

  • 100 % des API testées étaient vulnérables aux vulnérabilités d’authentification brisée, permettant à Knight d’effectuer des demandes d’API sur d’autres comptes clients bancaires sans s’authentifier

  • L’une des banques testées a externalisé le développement de son code ; le développeur a réutilisé ce même code vulnérable dans des centaines d’autres banques, permettant aux mêmes attaques d’être utilisées contre ces autres cibles bancaires

Knight a déclaré : « Au cours de la dernière décennie, j’ai concentré mes recherches sur la vulnérabilité sur l’évaluation de la sécurité des API qui sont maintenant le fondement d’une grande partie des infrastructures critiques de notre pays. Mes exploits ont transcendé les API dans les services d’urgence, les transports, les soins de santé, services financiers aux FinTech. Les API sont devenues la plomberie de l’ensemble de notre monde connecté aujourd’hui. « 

Knight a poursuivi en disant : « Malheureusement, ce n’est pas sans conséquence, comme mes recherches l’ont prouvé. De nombreux services financiers et sociétés de technologie financière ont choisi de ne pas développer leurs applications en interne. Il est clair, sur la base de mes découvertes où l’authentification et l’autorisation sont très rompues, qu’il n’y a pas de « confiance mais vérification » avec ces développeurs tiers. »

« Le problème est exacerbé par le fait que ces tiers réutilisent le même code vulnérable avec leurs autres clients bancaires. Dans mes recherches, j’ai pu exploiter des problèmes d’authentification et d’autorisation au niveau des objets cassés qui m’ont permis d’effectuer des Le code PIN change pour tout compte client, indiquant un danger clair et présent dans notre système financier causé par ces API non sécurisées », a poursuivi Knight.

Les banques traditionnelles devant rivaliser avec les néobanques et les fintechs pour répondre aux nouvelles exigences relatives à la façon dont les consommateurs souhaitent effectuer leurs opérations bancaires aujourd’hui, les banques traditionnelles de la rue principale se précipitent pour déployer de nouvelles technologies pour permettre une expérience numérique sans friction pour essayer d’effacer les frontières entre les néobanques et traditionnel.

À l’échelle mondiale, les programmes bancaires ouverts ont conduit des offres de services centrées sur les API, des paiements d’ouverture, des services de compte et d’autres données vers des fournisseurs tiers. En outre, les initiatives de transformation numérique sont des priorités absolues alors que les organisations de services financiers cherchent à améliorer l’expérience numérique des clients. L’effort visant à attirer de nouveaux clients et à fidéliser les clients existants en offrant une valeur supplémentaire a entraîné davantage de services d’application et d’API de support. Cette adoption accrue de l’utilisation des API a entraîné une augmentation spectaculaire de la surface d’attaque qu’elles représentent.

« Comme les recherches de Knight l’ont montré au cours des deux dernières années, aucune industrie n’est à l’abri d’une attaque d’API ; cependant, de plus en plus se produisent en particulier dans l’espace Fintech en raison de la nature sensible des données que les API peuvent fournir et les pirates ont réalisé à quel point ils sont faciles à exploiter, comme le montrent les dernières recherches de Knight », a déclaré Mark Campbell, directeur principal de Noname Security. « Les API sont au cœur de leurs stratégies numériques pour améliorer l’expérience de leurs clients et les protéger est devenu une priorité absolue. Nous relevons ce défi de manière unique en fournissant une plate-forme unique qui fournit la gestion de la posture des API, la détection et la réponse des API et les tests des API. pour ajouter de la sécurité dans le cycle de vie de développement d’API d’une organisation. »

Noname Security protège les API en temps réel et détecte les vulnérabilités et les erreurs de configuration avant qu’elles ne soient exploitées. La plate-forme de sécurité API Noname s’intègre à l’infrastructure de sécurité existante, comme les WAF, les passerelles et les SIEM, pour appliquer et appliquer de nouvelles politiques et communiquer en temps réel avec les parties prenantes de l’API et de la sécurité. Les organisations financières peuvent tirer parti de la plate-forme de sécurité API Noname pour détecter et atténuer les risques associés aux vulnérabilités découvertes par Knight pour :

  • Réduisez ou éliminez considérablement les surfaces d’attaque en détectant et en corrigeant les API mal configurées (par exemple, authentification cassée).

  • Identifiez les comportements anormaux, l’authentification interrompue et mettez fin aux sessions d’API suspectes.

  • Permettez aux équipes de sécurité de détecter les violations de plage et les irrégularités dans les appels et les réponses de l’API, telles que les montants de transfert dépassant une certaine limite.

Apprenez-en plus sur cette nouvelle recherche et la plateforme Noname API Security en :

À propos de la sécurité sans nom

Noname Security est le créateur de la plate-forme de sécurité API la plus puissante, la plus complète et la plus facile à utiliser, utilisée par les entreprises Fortune 500 pour découvrir, analyser, corriger et tester leurs API héritées et modernes. Noname Security est une société privée, dont le siège est à Palo Alto, en Californie, et un bureau à Tel Aviv.

Voir la version source sur businesswire.com : https://www.businesswire.com/news/home/20211026006184/en/

Contacts

Médias

Susan M. Torrey
susant@nonamesecurity.com
650-492-1921

PJ Lee
Inkhouse pour la sécurité sans nom
noname@inkhouse.com

Laisser un commentaire