A legjobb az, amikor egy-egy pénzzel foglalkozó cég a hibajelentésre azt válaszolja, hogy ‘á, de az nem is nagy baj!’
(fotó: Thomas Leuthard / Flickr CC-BY)
A Las Vegas-i Black Hat hackerkonferencia előtt mindenki aggódhat kicsit, akinek van félnivalója. Az előadások témája már elérhető, az igazán menő hibákat találó kutatók, már adnak nyilatkozatokat. Most épp az derült ki, hogy részletekbe menően szó lesz negyven részvénykereskedelmi platform hibáiról.
Alejandro Hernández, az IOActive kutatója 16 számítógépes programot, 34 mobilappot és harminc weboldalt nézett át. Ezek között voltak olyan bevett, patinás alkalmazások, mint a Fidelity vagy a Charles Schwab appja, de olyan feltörekvő fintechek is, mint a Robinhood. Emellett a Kraken és a Poloniex jellegű kevésbé ismert szolgáltatásokkal is tett egy próbát.
A bevett megoldások viszonylag biztonságosnak bizonyultak, de az összkép nem kedvező. Az asztali alkalmazások mindegyike küldött olyan adatokat titkosítatlan csatornán, amelyet titkosítva kellett volna. A kereskedő egészen sok dolgot elárulhat így magáról, ha más is azonos wifin van. Vagy ha a kereskedő otthoni hálózatán már feltört magának egy eszközt.
Amelyik szoftver a fentihez hasonló amatőr hibát nem is vét, az sem teljesen biztonságos. Helyben, titkosítás nélkül tárolt jelszavakat, naplófájlokba kimentett kódokat is találta Hernández. Az ilyen jellegű problémákat megoldaná a kétlépcsős azonosítás, ezt viszont még ott is a felhasználóknak kell külön bekapcsolniuk, ahol egyáltalán van rá lehetőség. Az erős, jól leprogramozott titkosítás hiánya más esetekben is komoly sebezhetőségeket okozott. Aggasztóbb lehet a fintecheknek, hogy az általuk funkcióként kezelt, saját kereskedőrobotok létrehozása is aggályos tud lenni a biztonsági szakember szerint.
Az IOActive jelentésére nem érkeztek egyértelműen pozitív válaszok a megvizsgált szolgáltatások részéről. Olyanokkal takaróztak cégek, hogy a megtalált sebezhetőségek nem kellően veszélyesek, az adatok valójában biztonságban vannak. Akadt cég, amelyik nem is válaszolt a megkeresésre.
Szólj hozzá