Luki w mBanku

[OBRAZ] Na początku były próby przechwycenia haseł dostępu do kont bankowych oraz numerów kart płatniczych klientów polskiej filii Citibanku. Następnie doszło do próby wyłudzenia pieniędzy z internetowych kont bankowych banku Inteligo. Tym razem mamy poważne luki w mBanku.

Osoby posiadające konto w mBanku mogą bez problemu poprzez odpowiednią manipulację zmiennych poszerzyć swoje prawa użytkownika, co daje dostęp do niedostępnych z założenia sekcji panelu, takich jak zmiana limitów dla kart kredytowych, transakcji bezgotówkowych itp.

Problem polega w głównej mierze w samej metodzie przesyłania informacji poprzez formularze gdzie wysyłana jest duża ilość informacji m.in.: każdorazowo imię, nazwisko, numer karty.

Kolejny problem dotyczy błędu SQL injection, który występuje na forum mBanku. Zmienne (np. w "Szukaj") przekazywane były bezpośrednio do zapytań bez dodania "slashy".

Co ciekawsze, odkrywca błędu którym jest Michał Słowik przekazał te informacje do mBanku - omówił istotę błędu oraz metody jakimi można usterkę wyeliminować. Niestety informatyk mBanku po wysłuchaniu stwierdził, że informacje, jakie zostały przekazane nie są dziurą a niedociągnięciem. Przyznał racje, że przykładowy panel zmiany limitów nie powinien być dostępny dla użytkowników (zresztą jest nie ukończony) ale nie można dzięki niemu nic wykraść więc nie jest to dziurą.

W momencie opisania artykułu, błąd SQL Injection na stronach mBanku został poprawiony niestety problem, jaki istnieje w panelu nadal jest aktywny.

Więcej informacji na ten temat znajduje się na stronie Michała Słowika (autora odkrycia błędu).

Zobacz również: