В системе онлайн-авторизации Sitekey,
используемой Банком Америки (Bank of America)
обнаружена серьезная уязвимость. По данным
специалистов компании Sestus, эта уязвимость
позволяет хакеру удаленно лишить тысячи
клиентов онлайн-доступа к своим банковским
счетам.
Уязвимость в Sitekey, разработанной
компанией Passmark, позволяет проводить аналог
DoS-атаки на телефонные линии. Используя
брешь в системе онлайн-авторизации, хакер
может закрыть клиенту банка онлайн-доступ к
счету. В результате клиент будет вынужден
обратиться за помощью в службу поддержки по
телефону. Однако в случае массового
блокирования онлайн-доступа телефоннные
линии службы поддержки окажутся
перегружены звонками клиентов. Специалисты
Sestus утверждают, что выявленная ими
уязвимость касается не только Sitekey Банка
Америки, но и систем авторизации других
банков, использующих для доступа
комбинацию секретного вопроса-ответа.
Для онлайн-доступа к своему счету клиент
Банка Америки вводит в окно авторизации
свой логин. Приняв логин, Sitekey
идентифицирует компьютер, с которого логин
введен. Если это компьютер, на котором
пользователь был идентифицирован впервые,
Sitekey выводит на экран комбинацию
изображения и подписи к нему, введенные
пользователем при регистрации. Увидев
изображение и подпись, пользователь вводит
пароль и получает доступ к счету. Однако
если Sitekey не признает компьютер
пользователя, ему будет предложен
секретный вопрос вроде "Девичья фамилия
матери?". Пользователь вводит правильный
ответ на секретный вопрос и получает
возможность ввести пароль. Если ответ на
секретный вопрос окажется неправильным,
Sitekey не позволит ввести пароль и
заблокирует дальнейший доступ к счету.
Чтобы разблокировать счет, клиент будет
вынужден обратиться в службу поддержки по
телефону. Временная блокировка счета,
спроектированная как дополнительная мера
безопасности, на деле может быть
использована хакерами для массового
закрытия доступа к счетам, считают в Sestus.
Кроме того, хакеры могут использовать эту
уязвимость и в комбинированном виде:
блокировка счета и фишинг-атака на этот
счет.