一名独立安全研究员Indrajeet Bhuyan发现几家印度银行的存折设计存在缺陷,可被攻击者利用获取客户的账户余额及交易历史信息。
Bhuyan是在印度国家银行推出自动存折打印机后着手研究的,随后印度多家银行纷纷效仿。虽然随着网上银行及移动银行的兴起,银行存折已是明日黄花,但在世界上一些互联网交易及移动网络较少的地方仍然占有一席之地。
Bhuyan的研究显示,印度的银行只是将简单的条形码打印到存折上,而且条形码也成为自动存折打印台的唯一验证方法。
漏洞存在于自动存折打印机中
由于没有使用其它的验证或编码系统,攻击者能够轻易骗取存折的条形码并且获取账户历史及账户余额信息。接着,攻击者可以找出目标条形码即账号(本 例),而账号普遍被认为属于个人信息。Bhuyan调查了三家银行后发现有两家银行将用户的银行账号作为条形码数据,印度国家银行为存折及银行账号使用了 不同的ID。
由于所有的银行都使用Code 128作为编码条形码的方法,Bhuyan实施了两次测试验证自己的理论。在第二次测试中,他拿着父亲的存折并且使用了同样的方法,同时他使用Code 128为自己的银行账号编码从而获取定制化生成的条形码。
除Code 128条形码外,存折未使用任何验证手段
两个案例都成功了,而自动存折打印台在读取了Bhuyan自己制作的条形码后获得了存折的个人及私人信息。
没有生物特征验证、没有密码、没有加密!一切都是在没有恰当验证方法的前提下完成的,这为用户的私人金融信息带来了风险。
几家银行的IT部门都知悉了该问题,但一个月之后仍未与Bhuyan联系。