Siapa yang melihat? Kerentanan aplikasi pelacakan keuangan disorot

Kerentanan telah ditemukan dalam aplikasi pelacakan keuangan, 'Money Lover'. Kerentanan telah menyebabkan kekhawatiran konsumen dan bisnis karena implikasi potensial dari kerentanan ini. Ini termasuk memungkinkan setiap pengguna terverifikasi untuk melihat transaksi langsung yang terkait dengan dompet bersama. Kekhawatirannya di sini adalah bahwa pelaku jahat dapat menggunakan metadata dan alamat email yang diungkapkan dalam kerentanan ini untuk eksploitasi lebih lanjut.

Seperti yang dilaporkan di TechRadar, para peneliti melihat lalu lintas aplikasi Android, iOS, dan Windows menggunakan proxy dan tampilan Soket Web di Alat Pengembang browser. Mereka menemukan daftar alamat email yang terisi dengan cepat dan data lain yang berkaitan dengan 'Pecinta Uang'. Penyelidikan lebih lanjut menemukan bahwa email tersebut milik pengguna dari apa yang disebut fitur "dompet bersama".

Dampak utama dari kelemahan ini adalah penyerang yang mengakses alamat email dan metadata transaksi dapat melakukan serangan phishing yang ditargetkan terhadap pengguna yang terpapar untuk mendapatkan akses ke informasi sensitif lebih lanjut.

Data tersebut dapat mencakup nama dompet dan pengidentifikasi transaksi, menurut Almog Apirion, CEO dan salah satu pendiri Cyolo.

Jurnal Digital bertanya kepada Apirion bagaimana dan mengapa para pemimpin harus meningkatkan strategi pertahanan mereka untuk melindungi dari kerentanan umum ini.

Dalam menjawab ini, Apirion mempertimbangkan aliran data yang kaya yang dapat dieksploitasi melalui rute-rute ini: “Mencapai akses ke metadata mengungkap harta karun informasi, termasuk informasi API yang dapat digunakan untuk menyebabkan kerusakan besar pada individu atau bisnis. Tampaknya kerentanan ini terkait dengan bug.”

Apirion mencatat bagaimana: “Ini adalah masalah umum, banyak aplikasi FinTech – terutama dari perusahaan kecil – dapat mengalami masalah serius dengan login pengguna atau validasi identitas.”

Ada langkah-langkah yang perlu dipertimbangkan, dan dengan mengacu pada kasus tertentu, Apirion menemukan: “Dalam kasus seperti ini, memastikan pendekatan yang kuat untuk validasi identitas adalah suatu keharusan, karena setiap aplikasi yang memiliki reputasi keamanan yang buruk akan sulit untuk menjaga pengguna aktif dan tetap menguntungkan. Selain itu, karena akses API sangat sensitif, kemungkinan besar bank akan membatasi akses ke Aplikasi FinTech kecil, yang akan sangat merusak kemampuan mereka untuk beroperasi dan mendapatkan pelanggan.”

Dalam hal tindakan proaktif, Apirion mencatat: "Perusahaan yang menerapkan validasi pengguna akan memiliki data yang mereka butuhkan untuk memeriksa secara forensik setiap masalah yang muncul saat mereka memiliki aplikasi 'kereta' di alam bebas."