信息安全架构师David Sennaike偶然发现了“暗网”上的在线广告,并发现一个账户拍卖了90%的尼日利亚银行及其客户的泄露数据。
Sennaike已经在信息安全领域工作了12年,但在他对暗网的一次定期探索中,David在1月份看到了一篇帖子,称他们正在拍卖一家尼日利亚金融科技公司的私人数据、服务器访问权限、用户名和密码,应用程序接口(API)密钥和私人客户数据。
这位专家在他的Linkedin个人资料中透露了这些信息。
受影响的金融机构包括Deposit Money银行、Marchant银行、Micro Finance银行和金融科技。
暗网是互联网上存在的一小部分网络,它不能被搜索引擎搜索到,需要特定的软件、配置或授权才能访问。
“这次泄漏包含了客户的敏感数据,客户,API密钥,员工和管理员的用户名和密码,访问数据库、保留对服务器的shell访问的敏感数据。“
“初始访问是通过在其平台上使用多个IDOR漏洞来实现完整代码执行的。访问用于签署JSON令牌的私钥允许从INVESTOR提升到Admin权限,这意味着最终资金的访问和批准。
“起拍价定为5万美元。你需要在你的钱包里有当前的出价金额才能看到样本。”广告上写道。
变得好奇的Sennaike说,出价已经涨到250000美元,他可以负担得起,但是,他更进一步查看了样本数据的有效性。
“对一些细节的操纵会导致金融技术的完全妥协。我到此为止,并向该组织报告了此事。在来回折腾了一段时间后,他们暂时打了补丁。”
“我决定联系那些发布信息出售的黑客,尝试复杂的社会工程。我建立了我的邪恶的ginx2服务器,在三天之内,我就进入了他们的数据服务器。它包含了关于尼日利亚许多银行及其客户的若干信息。”
这位专家说,他看了其中的一些信息,这让他了解到他们用来访问银行的载体。
“它给出了一些最初的进入载体的想法,以及他们如何入侵大多数金融机构。我验证了其中的许多,并将确保提供附有必要证明的清单,”他补充道。
当他搜索数据时,他发现属于受影响银行的数据被泄露了。
Sennaike发现:“排名前5位的银行在大约四台服务器上运行Fat-pipe mVPN。这是为银行进行远程管理的网络。他们所运行的版本的问题在于它带有一个没有密码的后门用户,名为“cmuser”。这个用户拥有管理权限,没有任何限制,也没有出现在日志中。联邦调查局(FBI)在2021年就警告过这个漏洞,但这家拥有数十亿美元收入和利润的银行却没有更新。你可以登录到网络控制台,并使用它来破坏他们的整个内部基础设施。“
“前面提到的这家银行在他们的一个域名上暴露了一个名为“appsettings.json”的文件。人们还发现,至少有11家银行在一台服务器上暴露了这个文件。这个文件包含内部API密钥、密码和有效数据库的用户名。这为入侵其中一些银行提供了进一步的机会。”