SBI在无法保护密钥服务器后泄露了数百万客户的数据

SBI Fails to Secure an Important Server

印度国家银行(SBI)可能不是世界上最大的银行,但它仍然是一个重要的组织。它拥有超过4000亿美元的资产和近5亿客户。换句话说,各行各业的人每天都在使用它的服务。他们中的一些人更喜欢与老功能手机上的人和组织进行沟通,因为他们认为现代智能设备存在太多隐私威胁。其他人只是买不起智能手机,而且还有按钮,小显示屏和超长电池续航时间。

他们无法安装YONO,SBI的移动银行应用程序,但他们仍然需要有关他们在移动时的资金信息,这就是为什么政府所有的金融机构开发了SBI Quick - 一个基于SMS的系统,可以与之合作关键字的帮助。例如,您想要了解您的帐户余额,并发送带有预定义关键字的文本。系统会确认您的电话号码与您的帐户相关联,并回复您的帐户余额。如果您需要其他信息(例如,有关您最近交易的详细信息),请发送另一个关键字。

提出该系统的开发人员可能对他们的工作感到非常自豪。事实上,他们想要与全世界分享它。无论是那个还是他们是很长的开发人员中的下一个,他们在互联网上设置服务器时犯了大量的配置错误。

SBI的SMS系统曝光

SBI Quick使用需要连接到互联网的后端服务器进行操作。当他们启动它时,负责该项目的人员将整个基础设施放在一起,他们插入以太网电缆,然后按下ON按钮。他们忘记做的是考虑在互联网上留下如此多的敏感信息的安全方面。

没有人打算用密码保护服务器,果然,一位喜欢保持匿名的安全研究人员发现它使用的是每个人都可以使用的搜索技术。这位未透露姓名的研究人员与TechCrunch取得了联系,后者又向SBI和印度国家关键信息基础设施保护中心提供了信息。 SBI代表决定不发表评论,但幸运的是,他们确实承认了这个问题,并将服务器置于密码之下。

我们看到了同样古老的愚蠢错误

安全专家每天都在寻找不安全的服务器和数据库。由于不太清楚的原因,越来越多的系统管理员似乎在没有任何形式保护的情况下在互联网上留下大量数据。仅在过去四周,我们就看到了几 此类 事件 。而且潜在的影响也不是微不足道的。

根据TechCrunch,SBI Quick每天处理几百万条消息,服务器存储了两个月的数据. 可以肯定地说,数百万的SBI客户可能会受到影响,所有这些客户,特别是那些银行存款余额较高的客户,现在可能成为各种骗局的主要目标。

未受保护的服务器不是唯一的问题

虽然SBI的SMS系统是公开的,但我们实际上并不知道除了匿名研究人员之外是否还有其他人。换句话说,安全错误最终可能不会影响任何人,特别是现在服务器受到保护,只有经过授权的人才能访问它。

但总的来说,SBI可能希望开始考虑对SBI Quick进行更为根本的重新设计。我们最近讨论了SMS作为发送敏感信息的方法的缺点 ,并且我们提到了其背后的旧技术如何被滥用的示例。

实际上,利用SS7的安全漏洞要比启动搜索引擎和查找前门打开的数据库要困难得多。攻击者需要更加复杂和积极主动。尽管如此,提取大量敏感数据的潜力仍然存在,SBI不应低估它。

March 1, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
8 + 4是什么?