El sitio web de HDFC Bank es vulnerable al robo de identidad y al bloqueo de cuentas

Investigador de seguridad indio Jiten Jain Xebia Architects revel√≥ hoy que uno de los bancos privados m√°s grandes de la India, el sitio web de banca electr√≥nica de HDFC Bank podr√≠a ser un blanco f√°cil del tipo √ļnico de ataque de denegaci√≥n de servicio que podr√≠a resultar en el bloqueo de las cuentas de banca electr√≥nica de todos sus clientes. Aqu√≠ est√° el informe detallado de vulnerabilidad presentado por √©l.

___________________________________________

El servicio NetBanking de HDFC Bank, que es uno de los bancos m√°s grandes y de mayor reputaci√≥n en la India, es completamente vulnerable al robo de identidad, el phishing dirigido y el bloqueo masivo de cuentas. HDFC Bank ha implementado una soluci√≥n de seguridad adicional llamada ‘Acceso seguro’ en su sitio web, pero en su lugar ha dado una puerta oculta a los piratas inform√°ticos para bloquear todas las cuentas de NetBanking de HDFC. El ‘Acceso seguro’ es una capa adicional de implementaci√≥n de seguridad en el sitio web del Banco HDFC. Es esencialmente una soluci√≥n que protege su cuenta de piratas inform√°ticos y estafadores. Secure Access, una iniciativa de seguridad en l√≠nea, tiene la intenci√≥n de hacer que las transacciones de NetBanking sean m√°s seguras al proteger a los usuarios de sitios web de phishing y piratas inform√°ticos y ayudar a los usuarios a autenticar el sitio web original de HDFC. El inicio de sesi√≥n de NetBanking de HDFC Bank ahora es un proceso de dos pasos con verificaci√≥n de texto e imagen de acceso seguro. Perm√≠tanos llevarlo a trav√©s de los pasos involucrados en el acceso seguro y c√≥mo tiene la intenci√≥n de proteger la cuenta de NetBanking de los clientes de HDFC.

Permítanos llevarlo a través de los pasos involucrados en el acceso seguro y cómo tiene la intención de proteger la cuenta de NetBanking de los clientes de HDFC.

1) En el primer paso, el usuario debe proporcionar su ID de cliente (ID de usuario) en la primera pantalla

El sitio web de HDFC Bank es vulnerable al robo de identidad y al bloqueo de cuentas 1

2) Luego se lleva al usuario a la siguiente pantalla donde se le muestra su imagen y mensaje personalizados y se le solicita que ingrese su IPIN (contrase√Īa).

La presentación de demostración del trabajo de acceso seguro se puede ver en el sitio web de HDFC en la siguiente URL https://www.hdfcbank.com/assets/demo/secure_access.swf El acceso seguro que se afirma que es obligatorio para el proceso de autenticación multicapa requiere que los usuarios de HDFC NetBanking se registren si desean realizar CUALQUIER transacción de terceros como transferir dinero, reservar tickers de películas, recargar el teléfono.

Durante la investigaci√≥n sobre la aplicaci√≥n HDFC Mobile Banking y NetBanking Portal, se descubri√≥ que, al implementar Secure Access, HDFC Bank ha comprometido el primer y m√°s importante principio de autenticaci√≥n de usuarios en cualquier sitio web bancario, es decir Nunca revele si su nombre de usuario o la contrase√Īa son incorrectos en caso de que se ingrese una combinaci√≥n incorrecta.

Dado que la implementaci√≥n de acceso seguro requiere que el usuario solo ingrese su ID de cliente (El nombre de usuario fijo en el caso de los usuarios de NetBanking del banco HDFC. El sistema luego verifica en el backend si el usuario est√° registrado para Secure Access o NetBanking, si el usuario no est√° registrado o usuario v√°lido, se le pide nuevamente la identificaci√≥n del cliente, pero en caso de que la identificaci√≥n del cliente sea correcta y est√© registrada, el usuario pasa al segundo paso y se le muestra su imagen de acceso seguro y el texto que seleccion√≥ y se le pide que ingrese su contrase√Īa.

1.) 1 Ahora, este primer paso para verificar la identificación del cliente y mostrar imágenes y texto de acceso seguro personalizado ha hecho que HDFC Bank sea vulnerable a la recopilación de identificación del cliente ciego. Explotamos esta vulnerabilidad ejecutando un paquete automatizado mediante la generación de identificadores de clientes aleatorios en una secuencia (ejemplo de 434XXXX a 515XXXXXX) e inició sesión en el sitio web de HDFC NetBanking con ellos. Se anotaron los identificadores de cliente que mostraban acceso seguro, imagen y texto y se descartó el resto. También se guardaron las imágenes y el texto de acceso seguro que se mostraron para identificadores de cliente válidos. Ahora por el proceso anterior pudimos lograr 3 cosas. Fue impactante ver que el texto seguro se mostraba como texto simple y no como una imagen de texto.

Mediante este primer paso automatizado de inicio de sesión, pudimos crear una base de datos de varios ID de clientes de usuarios de HDFC NetBanking. Podríamos haber creado una base de datos completa de todos los usuarios de NetBanking, pero como esta prueba se realizó con el motivo de verificar la seguridad en el sitio bancario, solo se recopilaron datos de muestra. Decidimos destruir estos datos más tarde después de completar esta demostración.

El sitio web de HDFC Bank es vulnerable al robo de identidad y al bloqueo de cuentas 2

Aplicación móvil de phishing HDFC que utiliza nuestra base de datos de imágenes y texto de acceso seguro

El sitio web de HDFC Bank es vulnerable al robo de identidad y al bloqueo de cuentas 3
La identificación del cliente, la imagen personalizada y el texto del cliente en las capturas de pantalla anteriores se ha ocultado por seguridad

2) Luego configuramos un portal de phishing para HDFC Net banking y creamos una aplicaci√≥n falsa HDFC NetBanking Mobile y la probamos en algunas personas. En nuestra falsa aplicaci√≥n m√≥vil HDFC y portal de phishing, pudimos replicar exactamente el mismo comportamiento de acceso seguro que en el sitio web original de HDFC utilizando la base de datos de ID de clientes de los usuarios de NetBanking y su imagen y texto de acceso seguro que hab√≠amos creado anteriormente. Dado que nuestro sitio mostraba las mismas im√°genes y texto de acceso seguro al ingresar los ID de los clientes, utilizamos su funci√≥n de seguridad para proporcionar una apariencia m√°s aut√©ntica a nuestro sitio web de phishing y nuestra aplicaci√≥n m√≥vil. La situaci√≥n era peor para las aplicaciones m√≥viles falsas, ya que los usuarios de dispositivos m√≥viles ni siquiera pod√≠an ver la URL, dejando de lado cualquier posibilidad de duda para el usuario. Varios usuarios confiaron en nuestro sitio de phishing y aplicaci√≥n m√≥vil e intentaron iniciar sesi√≥n con sus contrase√Īas.

3) Ahora, en un tercer paso de Killing, lanzamos un ataque de denegación de servicio en el sitio web mediante el bloqueo de algunas cuentas de usuario. Dado que la vulnerabilidad de autenticación de acceso seguro nos ha ayudado a crear la base de datos de identificadores de clientes de los usuarios de HDFC NetBanking, lanzamos otro programa que simplemente fue al sitio web de HDFC NetBanking y proporcionó la identificación del cliente desde nuestra base de datos en la página de inicio de sesión de HDFC NetBanking.

Como est√°bamos proporcionando Id. De cliente v√°lidos, cuando se nos solicit√≥ el IPIN / Contrase√Īa, lo ingresamos incorrectamente 5 veces que resultaron en que esos clientes fueran bloqueados de NetBanking. Utilizamos el proxy de cadena para omitir el tiempo y las verificaciones de secuencia, pero nos sorprendi√≥ descubrir que el sitio HDFC no ten√≠a NINGUNO y pudimos bloquear f√°cilmente varias cuentas de usuario.

El sitio web de HDFC Bank es vulnerable al robo de identidad y al bloqueo de cuentas 4

Dado que nos guiamos por la ideolog√≠a del pirateo √©tico, realizamos una investigaci√≥n anterior sobre una muestra de datos, pero cualquiera puede usar esta falla en la autenticaci√≥n para generar una base de datos de identificadores de clientes de usuarios de HDFC NetBanking y bloquear completamente todas las cuentas de NetBanking de todos los usuarios de HDFC NetBanking . Lo mismo puede ser utilizado por los malhechores o competidores del banco HDFC para mantener literalmente todo el servicio NetBanking del banco HDFC en busca de rescate al bloquear repetidamente las cuentas, incluso si est√°n habilitadas nuevamente. Esta vulnerabilidad tambi√©n plantea una gran pregunta: ¬ŅEstamos olvidando los principios b√°sicos de seguridad en la carrera de intentar una soluci√≥n de seguridad?

x – x – x

Mientras hablaba a “The Hacker News“, El Sr. Jiten revel√≥ que hab√≠a compartido el informe de vulnerabilidad anterior con el HDFC Bank en febrero para proporcionarles tiempo suficiente para corregir la vulnerabilidad anterior. El informe sobre la falta de seguridad en el sitio web de banca en l√≠nea de HDFC es otro golpe para HDFC Bank que ya est√° enfrenta cr√≠ticas por sus negocios turbios y actualmente se encuentra bajo una investigaci√≥n de Black Money por parte del gobierno indio.