Investigación de amenazas en API: SSRF en plataformas FinTech
Los investigadores de Salt Security descubrieron una vulnerabilidad de falsificación de solicitudes del lado de servidor (SSFR) en una API integrada en muchos sistemas bancarios de plataformas FinTech, por la que podrían haber comprometido potencialmente millones de cuentas bancarias.
Los atacantes podrían haber obtenido acceso administrativo al sistema bancario, filtrado datos personales de usuarios, accedido a los datos bancarios y transacciones financieras y realizado transferencias de fondos no autorizadas a sus propias cuentas bancarias.
Referencias
- 07/04/2022 salt.security API Threat Research: Server-side Request Forgery on FinTech Platform Enabled Administrative Account Takeover
- 07/04/2022 threatpost.com SSRF Flaw in Fintech Platform Allowed for Compromise of Bank Accounts
- 07/04/2022 thecybersecurity.nwes SSRF Flaw in Fintech Platform Allowed for Compromise of Bank Accounts
- 08/04/2022 oodaloop.com SSRF Flaw in Fintech Platform Allowed for Compromise of Bank Accounts
- 07/04/2022 infosectoday.com SSRF Flaw in Fintech Platform Allowed for Compromise of Bank Accounts
- 07/04/2022 websecurity.agency Falla de SSRF en plataforma Fintech permitida para compromiso de cuentas bancarias