Тысячи клиентов Банка Америки оказались перед угрозой хакерской атаки

В системе онлайн-авторизации Sitekey, используемой Банком Америки (Bank of America) обнаружена серьезная уязвимость.
По данным специалистов компании Sestus, эта уязвимость позволяет хакеру удаленно лишить тысячи клиентов онлайн-доступа к своим банковским счетам. В системе онлайн-авторизации Sitekey, используемой Банком Америки (Bank of America) обнаружена серьезная уязвимость.
По данным специалистов компании Sestus, эта уязвимость позволяет хакеру удаленно лишить тысячи клиентов онлайн-доступа к своим банковским счетам. Уязвимость в Sitekey, разработанной компанией Passmark, позволяет проводить аналог DoS-атаки на телефонные линии.

Используя брешь в системе онлайн-авторизации, хакер может закрыть клиенту банка онлайн-доступ к счету. В результате клиент будет вынужден обратиться за помощью в службу поддержки по телефону. Однако в случае массового блокирования онлайн-доступа телефоннные линии службы поддержки окажутся перегружены звонками клиентов. Специалисты Sestus утверждают, что выявленная ими уязвимость касается не только Sitekey Банка Америки, но и систем авторизации других банков, использующих для доступа комбинацию секретного вопроса-ответа. Для онлайн-доступа к своему счету клиент Банка Америки вводит в окно авторизации свой логин.
Приняв логин, Sitekey идентифицирует компьютер, с которого логин введен. Если это компьютер, на котором пользователь был идентифицирован впервые, Sitekey выводит на экран комбинацию изображения и подписи к нему, введенные пользователем при регистрации. Увидев изображение и подпись, пользователь вводит пароль и получает доступ к счету.

Однако если Sitekey не признает компьютер пользователя, ему будет предложен секретный вопрос вроде "Девичья фамилия матери?". Пользователь вводит правильный ответ на секретный вопрос и получает возможность ввести пароль. Если ответ на секретный вопрос окажется неправильным, Sitekey не позволит ввести пароль и заблокирует дальнейший доступ к счету. Чтобы разблокировать счет, клиент будет вынужден обратиться в службу поддержки по телефону.
Временная блокировка счета, спроектированная как дополнительная мера безопасности, на деле может быть использована хакерами для массового закрытия доступа к счетам, считают в Sestus. Кроме того, хакеры могут использовать эту уязвимость и в комбинированном виде: блокировка счета и фишинг-атака на этот счет.

Источник