Alissa presenta una nueva serie de hallazgos en su investigación continua sobre las vulnerabilidades de la API. Esta vez, en cambio, revela vulnerabilidades que afectan a los servidores API de las propias instituciones financieras, lo que lleva a transferencias de dinero no autenticadas y cambios en el código PIN de las tarjetas de débito ATM para estos bancos.
27 de Mayo, 2020
Alissa Valentina
Trayectoria
Alissa
Knight primero llamó la atención mundial en 2019 después de descargar 30
aplicaciones móviles de servicios financieros de bancos, plataformas de
negociación de acciones, transferencia de dinero P2P, billeteras de
criptomonedas y otras aplicaciones cuando las descompuso para revelar
vulnerabilidades sistémicas en la industria de servicios financieros como parte
de un programa patrocinado, proyecto de investigación de Arxan Technologies.
Los
resultados de su investigación de 2019 descubrieron una falta sistémica del
código de las aplicaciones móviles de servicios financieros que dejan
información confidencial, como claves API codificadas, tokens API y
credenciales en las aplicaciones móviles visibles para cualquier persona capaz
de realizar ingeniería inversa de las aplicaciones, eso le tomó un promedio de
8.5 minutos por aplicación.