خلل أمني في تطبيقات البنوك عرض بيانات الملايين من العملاء للخطر
اكتشف باحثون في مجال التقنية من جامعة برمنغهام، وجود عيب أمني خطير في الكثير من التطبيقات المصرفية المختلفة بعد قيامهم باختبار مئات التطبيقات المصرفية المختلفة التي تستخدمها العديد من المؤسسات المصرفية الكبرى، وذلك طبقا لما نشره موقع Latest Hacking News.
عمليات اختراق بين العميل والبنك دون معرفتهما
الموقع نشر أن الباحثين قد اكتشفوا أن معظم هذه التطبيقات تعاني من عيب تقني خطير يجعلها عرضة للوقوع في خطر ما يعرف باسم "هجوم الوسيط" (Man-in-the-middle attack) وهو مصطلح تقني يستخدمه المتخصصون في مجال تأمين الحاسبات، ويقصد به عمليات الاختراق التي يقوم فيها المهاجم أو الهاكر بالتسلل ببين طرفين في شبكة إليكترونية دون علم أي منهما، بمعنى أن يقوم ذلك المهاجم أو الهاكر بالتسلل إلى واحدة من العلميات التي تجري بين البنك وأحد عملائه دون علم أي منهما، واستخدام ذلك للحصول على بيانات هامة تخص العميل مثل اسم المستخدم، ورمز التعريف الشخصي (pin code) وهو ما يزيد من فرصة وقوع بياناته الشخصية والمصرفية لدى البنك في أيدي آخرين غير مصرح لهم بالحصول عليها.
الخلل في قنوات مؤمنة للعمل عن بعد
Latest Hacking News ذكر أيضا أن الباحثين من جامعة برمنغهام قد ذكروا أن التطبيقات المصرفية التي تعاني من ذلك العيب التقني الخطير تتضمن تطبيقات خاصة بمؤسسات مصرفية ضخمة لها فروع حول العالم، وطبقا لما ذكره الباحثون بشأن التطبيقات المصرفية، فإن العيب التقني الرئيسي لهذه التطبيقات هو تقنية تعرف باسم " certificate pinning" ويقصد به العمل عن بعد من خلال القنوات المؤمنة، وتعتمد هذه التقنية على إرسال واستقبال من طرف إلى طرف آخر، إلا أن هذا النوع من التقنيات قابل للاختراق خاصة في حالة استخدام القنوات المؤمنة باستخدام بروتوكول طبقة المنافذ الآمنة (SSL) أو الشبكة الخاصة الافتراضية (VPN) والذي تستخدمه عادة المؤسسات الكبيرة، وطبقا للباحثين فإنه يمنح الهاكرز المتواجدون على نفس الشبكة بفك تشفير البيانات المتبادلة بين الطرفين (البنك-العميل) عبر القنوات المؤمنة، واستعراض هذه البيانات مع إمكانية تعديل البيانات المتعلقة بحركة المرور عبر الشبكة من قبل أي من مستخدمي التطبيق.
تعاون مشترك لتلافي الخلل وتأمين بيانات عملاء البنوك
الخبر الجيد هنا أن الباحثين عملوا مع المؤسسات المصرفية الكبرى التي تعاني من تلك المشكلة الخطيرة وتمكنوا من تلافي ذلك العيب التقني وذلك بالاستعانة بمركز الأمن الإليكتروني الوطني في المملكة المتحدة لتلافي الخلل.