رفتن به محتوای اصلی
شنبه ۲۷ مرداد ۱۳۹۷
.

دسته بندی اخبار

دسته بندی عمومی

هکرها امنیت OTP معروف‌ترین بانک هند را بشکنند

هکرها امنیت OTP معروف‌ترین بانک هند را بشکنند

یک کد رمز زمان‌دار یا همان ( OTP ) امروزه به یک ویژگی امنیتی جدید در اغلب وب سایت‌ها ازجمله بانک‌ها تبدیل‌شده است. این ویژگی به کاربر اجازه می‌دهد تا معاملات آنلاین را پس‌ازآنکه هویت مشتری توسط گذراندن رمز عبور OTP به شماره تلفن همراه ثبت‌شده کاربر از بانک تأیید شود، انجام دهد. اما کسی که این ویژگی امنیتی شمارا داشته باشد، می‌تواند به‌آسانی به اطلاعات مالی شما دسترسی داشته باشد و حساب شمارا درجاهای مختلف خالی کند.

در حین ساخت یک تراکنش مالی در وب‌سایت بانک‌ها، برای مثال  صفحه آخر وب‌سایت بانک SBI یک صفحه گذرواژه زمان‌دار را نشان می‌دهد که در آن پارامتری به نام " smartotpflag " در Y قرار داده می‌شود یعنی  'smartotpflag به Y یعنی smartotpflag = Y' تنظیم‌شده است.یک هکر  کلاه‌سفید به نام نرج ادواردز، که خود از  هکرها و محققان امنیتی برنامه‌های تحت وب است، به‌تازگی با انتشار مقاله‌ای بر اساس تحقیقات خود در مورد این‌که چگونه می‌تواند به‌راحتی از OTP یکی از محبوب‌ترین بانک‌های دولتی هند موسوم به ( SBI ) عبور کند و  معاملات و تراکنش‌های مالی کاربران را با هر مقدار انجام دهد ، به اشتراک گذاشته است.

در حین ساخت یک تراکنش مالی در وب‌سایت بانک‌ها، برای مثال  صفحه آخر وب‌سایت بانک SBI یک صفحه گذرواژه زمان‌دار را نشان می‌دهد که در آن پارامتری به نام " smartotpflag " در Y قرار داده می‌شود یعنی  'smartotpflag به Y یعنی smartotpflag = Y' تنظیم‌شده است.

 

پارامتر Smartotpflag برای تولید OTP استفاده می‌شود و Y نشان‌دهنده «بله» برای ارسال کد به موبایل ثبت‌شده کاربر است. بااین‌حال، برگ خرید خطر در صورتی اتفاق می‌افتد که یک هکر "Y" را به "N" در سیستم تغییر دهد، یعنی "No". معامله پس از ورود به OTP کامل خواهد شد و به‌حساب دسترسی ایجاد خواهد شد.

 

اگرچه بعد از کشف ادواردز خطر کشف‌شده برطرف شده بود، اما این اتفاق برای کاربران و صاحبان حساب بسیار ناامیدکننده هست که کسی بتواند به‌راحتی با شکستن یک رمز به اطلاعات مالی آن‌ها دسترسی داشته باشد، هرچند که ادواردز نه به کار خود اعتراف کرد و نه به خاطر فاش کردن این آسیب‌پذیری تشویق شد.

۴۹