Τις τελευταίες ώρες υπάρχουν αναφορές μέσω Twitter, σχετικά με ΙΔΙΑΙΤΕΡΩΣ ανασφαλή εφαρμογή που παρέχει ασφαλιστικός φορέας/οργανισμός και καλεί τραπεζικά στελέχη να την χρησιμοποιήσουν ώστε να δηλώσουν συγκεκριμένα προσωπικά τους στοιχεία! Πρόκειται για το ΤΑΑΠΤΠΓΑ, εποπτευόμενο από το Υπουργείο Εργασίας & Κοινωνικών Ασφαλίσεων!
Οι λεπτομέρειες της είδησης έχουν ως εξής: Το ΤΑΜΕΙΟ ΑΣΘΕΝΕΙΑΣ ΠΡΟΣΩΠΙΚΟΥ ΤΡΑΠΕΖΩΝ Ν.Π.Δ.Δ (http://www.taapt.gr/) εξέδωσε πρόσφατα εφαρμογή σχετικά με καταχώρηση/ενημέρωση στοιχείων μητρώου IBAN όπως μπορείτε να δείτε στην παρακάτω σελίδα [εδώ]
Οι υπεύθυνοι διαχείρισης καλούν τα στελέχη τραπεζών να κατεβάσουν την εν λόγω εφαρμογή ώστε να δηλώσουν τα στοιχεία μητρώου IBAN.
Όπως διαπίστωσαν όμως Έλληνες ερευνητές ασφάλειας, οι οποίοι δημοσιοποίησαν τα ευρήματά τους στο Twitter η εφαρμογή είναι επιεικώς απαράδεκτη και ιδιαίτερα επικίνδυνη αναφορικά με τις δυνατότητες έκθεσης των προς υποβολή προσωπικών δεδομένων.
Οι ερευνητές διαπίστωσαν ότι:
Οι δημιουργοί της εφαρμογής χρησιμοποιούν μια backend Access βάση δεδομένων για την εισαγωγή στοιχειών, χωρίς να έχουν λάβει ουσιαστικά μέτρα ασφάλειας.
Ο τρόπος δόμησης της εφαρμογής είναι εξαιρετικά απαρχαιωμένος και σε καμία περίπτωση δεν ανταποκρίνετε στo τεχνολογικό υπόβαθρο του 2014!
Δημιούργησαν .exe αρχείο (που μάλιστα εντοπίζετε από Antivirus ως ιος(!)) το οποίο και καλούν κάθε ενδιαφερόμενο να κατεβάσει στον εταιρικό του υπολογιστή!
Το .exe αρχείο που διανέμουν μελετήθηκε από τους ερευνητές ασφάλειας και διαπιστώθηκε ότι πραγματοποιεί μια απομακρυσμένη σύνδεση (RDP) σε εξυπηρετητή (server). Με τεχνικές reverse engineering εντόπισαν τόσο το username αλλά και τον κωδικό που επιτρέπει πρόσβαση στο Server που δηλώνουν οι χρήστες τα στοιχεία! (δείτε σχετικό Screenshot)
Οι ερευνητές ασφάλειας στο Twitter θέτουν ουσιαστικά ερωτήματα όπως (μεταξύ άλλων) γιατι δεν δημιουργήθηκε μια Web εφαρμογή για την συγκεκριμένη εργασία ώστε να διασφαλιστούν τα υποβαλόμενα δεδομένα καθώς και που μπορούν να απευθυνθούν ώστε να υποδείξουν τα σφάλματα.
Τα στοιχεία που ζητά η εφαρμογή από τους ασφαλισμένους των Τραπεζών και που ΠΙΘΑΝΟΝ έχουν τεθεί σε κίνδυνο είναι:
1. Αριθμός δελτίου ταυτότητας.
2. Αριθμός φορολογικού Μητρώου.
3. ΑΜΚΑ.
4. ΙΒΑΝ.
5. Ημερομηνία γέννησης.
6. Αριθμός τηλεφώνου.
Συνεπώς και σύμφωνα με τις αναφορές στο Twitter είναι σαφές ότι:
α) Εξωτερικός επιτιθέμενος μπορεί να χρησιμοποιήσει τα credentials που εντοπίστηκαν στην εφαρμογή, να πραγματοποιήσει πρόσβαση στον εξυπηρετητή και να αντλήσει τόσο τα δεδομένα που υποβάλλουν τα τραπεζικά στελέχη αλλά επίσης και να πραγματοποιήσει πιθανόν είσοδο στο δίκτυο του φορέα ΤΑΑΠΤ.
β) Εξωτερικός επιτιθέμενος μπορεί να εγκαταστήσει με χρήση των credentials της εφαρμογής malware στον εξυπηρετητή καθώς και να πραγματοποιήσει defacement (σε περίπτωση που ο εξυπηρετητής της βάσης δεδομένων είναι ο ίδιος με τον web server)
γ) Εξωτερικός επιτιθέμενος μπορεί να αλλοιώσει το .exe αρχείο της εφαρμογής με malware και να το διασπείρει σε τερματικούς σταθμούς τραπεζικών στελεχών!
Τα σχόλια στο Twitter είναι άκρως επικριτικά (και φυσικά δικαιολογημένα) καλώντας τον αρμόδιο φορέα να εκδώσει σχετική ανακοίνωση ή να προβεί σε επιδιόρθωση ή ανασχεδιασμό της εφαρμογής. Μεχρι στιγμής δεν έχει υπάρξει οποιαδήποτε ανακοίνωση αναφορικά με το ζήτημα.
Το SecNews ευχαριστεί τον ανώνυμο αναγνώστη για την αποστολή της πληροφορίας αλλά και τους ανεξάρτητους ερευνητές ασφάλειας στο Twitter για τις λεπτομέρειες.
Οι λεπτομέρειες της είδησης έχουν ως εξής: Το ΤΑΜΕΙΟ ΑΣΘΕΝΕΙΑΣ ΠΡΟΣΩΠΙΚΟΥ ΤΡΑΠΕΖΩΝ Ν.Π.Δ.Δ (http://www.taapt.gr/) εξέδωσε πρόσφατα εφαρμογή σχετικά με καταχώρηση/ενημέρωση στοιχείων μητρώου IBAN όπως μπορείτε να δείτε στην παρακάτω σελίδα [εδώ]
Οι υπεύθυνοι διαχείρισης καλούν τα στελέχη τραπεζών να κατεβάσουν την εν λόγω εφαρμογή ώστε να δηλώσουν τα στοιχεία μητρώου IBAN.
Όπως διαπίστωσαν όμως Έλληνες ερευνητές ασφάλειας, οι οποίοι δημοσιοποίησαν τα ευρήματά τους στο Twitter η εφαρμογή είναι επιεικώς απαράδεκτη και ιδιαίτερα επικίνδυνη αναφορικά με τις δυνατότητες έκθεσης των προς υποβολή προσωπικών δεδομένων.
Οι ερευνητές διαπίστωσαν ότι:
Οι δημιουργοί της εφαρμογής χρησιμοποιούν μια backend Access βάση δεδομένων για την εισαγωγή στοιχειών, χωρίς να έχουν λάβει ουσιαστικά μέτρα ασφάλειας.
Ο τρόπος δόμησης της εφαρμογής είναι εξαιρετικά απαρχαιωμένος και σε καμία περίπτωση δεν ανταποκρίνετε στo τεχνολογικό υπόβαθρο του 2014!
Δημιούργησαν .exe αρχείο (που μάλιστα εντοπίζετε από Antivirus ως ιος(!)) το οποίο και καλούν κάθε ενδιαφερόμενο να κατεβάσει στον εταιρικό του υπολογιστή!
Το .exe αρχείο που διανέμουν μελετήθηκε από τους ερευνητές ασφάλειας και διαπιστώθηκε ότι πραγματοποιεί μια απομακρυσμένη σύνδεση (RDP) σε εξυπηρετητή (server). Με τεχνικές reverse engineering εντόπισαν τόσο το username αλλά και τον κωδικό που επιτρέπει πρόσβαση στο Server που δηλώνουν οι χρήστες τα στοιχεία! (δείτε σχετικό Screenshot)
Οι ερευνητές ασφάλειας στο Twitter θέτουν ουσιαστικά ερωτήματα όπως (μεταξύ άλλων) γιατι δεν δημιουργήθηκε μια Web εφαρμογή για την συγκεκριμένη εργασία ώστε να διασφαλιστούν τα υποβαλόμενα δεδομένα καθώς και που μπορούν να απευθυνθούν ώστε να υποδείξουν τα σφάλματα.
Τα στοιχεία που ζητά η εφαρμογή από τους ασφαλισμένους των Τραπεζών και που ΠΙΘΑΝΟΝ έχουν τεθεί σε κίνδυνο είναι:
1. Αριθμός δελτίου ταυτότητας.
2. Αριθμός φορολογικού Μητρώου.
3. ΑΜΚΑ.
4. ΙΒΑΝ.
5. Ημερομηνία γέννησης.
6. Αριθμός τηλεφώνου.
Συνεπώς και σύμφωνα με τις αναφορές στο Twitter είναι σαφές ότι:
α) Εξωτερικός επιτιθέμενος μπορεί να χρησιμοποιήσει τα credentials που εντοπίστηκαν στην εφαρμογή, να πραγματοποιήσει πρόσβαση στον εξυπηρετητή και να αντλήσει τόσο τα δεδομένα που υποβάλλουν τα τραπεζικά στελέχη αλλά επίσης και να πραγματοποιήσει πιθανόν είσοδο στο δίκτυο του φορέα ΤΑΑΠΤ.
β) Εξωτερικός επιτιθέμενος μπορεί να εγκαταστήσει με χρήση των credentials της εφαρμογής malware στον εξυπηρετητή καθώς και να πραγματοποιήσει defacement (σε περίπτωση που ο εξυπηρετητής της βάσης δεδομένων είναι ο ίδιος με τον web server)
γ) Εξωτερικός επιτιθέμενος μπορεί να αλλοιώσει το .exe αρχείο της εφαρμογής με malware και να το διασπείρει σε τερματικούς σταθμούς τραπεζικών στελεχών!
Τα σχόλια στο Twitter είναι άκρως επικριτικά (και φυσικά δικαιολογημένα) καλώντας τον αρμόδιο φορέα να εκδώσει σχετική ανακοίνωση ή να προβεί σε επιδιόρθωση ή ανασχεδιασμό της εφαρμογής. Μεχρι στιγμής δεν έχει υπάρξει οποιαδήποτε ανακοίνωση αναφορικά με το ζήτημα.
Το SecNews ευχαριστεί τον ανώνυμο αναγνώστη για την αποστολή της πληροφορίας αλλά και τους ανεξάρτητους ερευνητές ασφάλειας στο Twitter για τις λεπτομέρειες.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου