Napad na Citigroup izkoristil trivialno luknjo

Prejšnji teden smo poročali, da so hekerji napadli strani ameriške banke Citigroup in odtujili osebne in osnovne finančne podatke (CVV-kod kartic niso dobili) številk približno 200.000 uporabnikov, kar predstavlja en odstotek vse komitentov banke. Uradnih podatkov o škodi tedaj ni bilo in jih ni niti danes, so pa na splet priplavali podatki o vrsti ranljivosti, ki so jo hekerji izkoristili. Izkazalo se je, da je bila za napako kriv površno spisana spletna stran, proti kateri je bila Sonyjeva zaščita kot Fort Knox, kot se je izrazil eden izmed bralcev Slashdota.

Hekerji so se na najprej kot običajen uporabnik prijavili na spletno stran, ki je bila namenjena njihovim komitentov, kar ni težko. Ko pa so bili enkrat na straneh, so med računi preskakovali tako, da so v naslovni vrstici zamenjali svojo številko računa z neko drugo in tako pristali v računu druge stranke. Morali so poslati zgolj 200.000 zahtevkov in strežnik je vsakokrat vrnil podatke o računu neke stranke.

To pomeni, da si hekerji tega imena pravzaprav niti ne zaslužijo. Citigroup je stran napisal tako malomarno, kot že dolgo nobeno resno podjetje. To ni bil niti najosnovnejši napad s SQL-vrivanjem, ampak še nekaj bolj preprostega. Strežnik sploh ni izvajal nobenega preverjanje pristnosti, tj. ustreznosti trenutne seje in zahtevanih podatkov, ampak jih je delil vsem, ki so poslali navaden HTTP-jevski zahtevek $_GET. Sistem je bil že po dizajnu odprt, saj številke računov niso tako tajne kot številke kreditnih kartic, tako da z njihovim poznavanjem ne bi smeli imeti možnosti pridobiti kakršnihkoli osebnih podatkov.

Po tovrstnem programiranju so znane tudi nekatere slovenske banke, ki zadnje čase ne odgovarjajo preveč rade na provokativna vprašanja v zvezi z njihovo varnostjo.