SBI在無法保護密鑰服務器後洩露了數百萬客戶的數據

SBI Fails to Secure an Important Server

印度國家銀行(SBI)可能不是世界上最大的銀行,但它仍然是一個重要的組織。它擁有超過4000億美元的資產和近5億客戶。換句話說,各行各業的人每天都在使用它的服務。他們中的一些人更喜歡與老功能手機上的人和組織進行溝通,因為他們認為現代智能設備存在太多隱私威脅。其他人只是買不起智能手機,而且還有按鈕,小顯示屏和超長電池續航時間。

他們無法安裝YONO,SBI的移動銀行應用程序,但他們仍然需要有關他們在移動時的資金信息,這就是為什麼政府所有的金融機構開發了SBI Quick - 一個基於SMS的系統,可以與之合作關鍵字的幫助。例如,您想要了解您的帳戶餘額,並發送帶有預定義關鍵字的文本。系統會確認您的電話號碼與您的帳戶相關聯,並回复您的帳戶餘額。如果您需要其他信息(例如,有關您最近交易的詳細信息),請發送另一個關鍵字。

提出該系統的開發人員可能對他們的工作感到非常自豪。事實上,他們想要與全世界分享它。無論是那個還是他們是很長的開發人員中的下一個,他們在互聯網上設置服務器時犯了大量的配置錯誤。

SBI的SMS系統曝光

SBI Quick使用需要連接到互聯網的後端服務器進行操作。當他們啟動它時,負責該項目的人員將整個基礎設施放在一起,他們插入以太網電纜,然後按下ON按鈕。他們忘記做的是考慮在互聯網上留下如此多的敏感信息的安全方面。

沒有人打算用密碼保護服務器,果然,一位喜歡保持匿名的安全研究人員發現它使用的是每個人都可以使用的搜索技術。這位未透露姓名的研究人員與TechCrunch取得了聯繫,後者又向SBI和印度國家關鍵信息基礎設施保護中心提供了信息。 SBI代表決定不發表評論,但幸運的是,他們確實承認了這個問題,並將服務器置於密碼之下。

我們看到了同樣古老的愚蠢錯誤

安全專家每天都在尋找不安全的服務器和數據庫。由於不太清楚的原因,越來越多的系統管理員似乎在沒有任何形式保護的情況下在互聯網上留下大量數據。僅在過去四周,我們就看到了幾 此類 事件. 而且潛在的影響也不是微不足道的。

根據TechCrunch,SBI Quick每天處理幾百萬條消息,服務器存儲了兩個月的數據。可以肯定地說,數百萬的SBI客戶可能會受到影響,所有這些客戶,特別是那些銀行存款餘額較高的客戶,現在可能成為各種騙局的主要目標。

未受保護的服務器不是唯一的問題

雖然SBI的SMS系統是公開的,但我們實際上並不知道除了匿名研究人員之外是否還有其他人。換句話說,安全錯誤最終可能不會影響任何人,特別是現在服務器受到保護,只有經過授權的人才能訪問它。

但總的來說,SBI可能希望開始考慮對SBI Quick進行更為根本的重新設計。我們最近討論了SMS作為發送敏感信息的方法的缺點 ,並且我們提到了其背後的舊技術如何被濫用的示例。

實際上,利用SS7的安全漏洞要比啟動搜索引擎和查找前門打開的數據庫要困難得多。攻擊者需要更加複雜和積極主動。儘管如此,提取大量敏感數據的潛力仍然存在,SBI不應低估它。

March 1, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
8 + 2是什麼?