一名安全研究員發現印度一家大銀行手機應用存在漏洞，可使他輕松偷走250億美元。

去年年末，安全研究員薩提亞·普拉卡什在一家銀行的手機銀行應用中發現了一系列關鍵漏洞，可使他僅用幾行代碼就能從任何甚至全部客戶賬戶中轉錢。

作為一名白帽子，普拉卡什立即與該銀行取得聯系，幫助銀行修復了這些漏洞，而不是趁機偷取該銀行中存有的250億美元資金。

在分析該手機銀行應用時，普拉卡什發現里面缺乏證書鎖定，隨便一個中間人攻擊者都可以利用虛假證書降級SSL連接，捕獲明文請求。

除此之外，普拉卡什還發現，該手機銀行應用的登錄會話架構不安全，攻擊者不用知道登錄密碼就可以偽裝目標賬戶所有者執行重要操作，比如查看當前賬戶余額和存款，添加新的收款人，進行非法轉賬等。

在博客中，普拉卡什寫道：“通過CURL直接調用轉賬API，可以繞過收款人賬戶驗證，往不在收款人列表中的賬戶打款”。

“枚舉銀行的客戶記錄(當前賬戶余額，存款等)只需要5行代碼。”

從任意賬戶中拿錢

如果這還不夠，普拉卡什還發現，該應用甚至根本不檢查客戶ID或交易授權碼（用于像轉賬、新建定期存款等重大操作）是否真正屬于打款人的賬號。

這一愚蠢的疏忽，可導致任何一個在該銀行有賬戶的人，都能使用此應用從其他人賬戶上轉走資金。

普拉卡什說：“我用家人的賬戶做了測試。其中幾個賬戶甚至連網絡銀行或手機銀行都沒開通。但所有賬戶無一例外都能轉走錢，效果簡直立竿見影。”

然而，普拉卡什并沒有趁機利用這些漏洞牟利，而是負責任地在2015年11月13日用電子郵件告知了該銀行。幾天之后，該行副總經理告訴他漏洞已修復，但沒有給予他任何漏洞報告的獎勵。