Hãng bảo mật CloudSEK (Ấn Độ) cho biết, trong số 13.000 ứng dụng được tải lên công cụ tìm kiếm bảo mật BeVigil dành cho các ứng dụng di động, có khoảng 250 ứng dụng sử dụng API Razorpay để giao dịch tài chính. Trong đó, khoảng 5% trong số này đã bị lộ khóa ID tích hợp thanh toán và khóa bí mật. Lỗ hổng không tồn tại trong Razorpay mà xuất phát từ việc các nhà phát triển ứng dụng đang xử lý các API không đúng cách.
Khi nhắc đến các cổng thanh toán, khóa API là sự kết hợp giữa key_id và key_secret để thực hiện các truy vấn API đến nhà cung cấp dịch vụ thanh toán. Trong quá trình tích hợp, các nhà phát triển đã vô tình nhúng khóa API vào source code. Mặc dù, các nhà phát triển có thể nhận thức được việc để lộ khóa API trong ứng dụng di động nhưng họ có thể không lường trước hệ quả gây ra cho toàn bộ hệ sinh thái.
CloudSEK cho biết thêm: một loạt các doanh nghiệp lớn nhỏ phục vụ cho hàng triệu người dùng có các ứng dụng dành cho thiết bị di động với các khóa API được mã hóa cứng trong các gói ứng dụng. Các khóa này có thể dễ dàng bị phát hiện bởi tin tặc hoặc đối thủ cạnh tranh và có thể sử dụng chúng để thâm nhập dữ liệu và mạng của người dùng.
Các dữ liệu có thể bị lộ lọt bao gồm thông tin người dùng như số điện thoại, địa chỉ email, ID và số tiền giao dịch cũng như chi tiết đơn đặt hàng và tiền hoàn lại. Ngoài ra, các ứng dụng tương tự nhau thường được tích hợp với các ứng dụng và ví khác làm rủi ro có thể tăng cao hơn.
Kẻ tấn công có thể sử dụng thông tin API bị lộ để mua hàng số lượng lớn và sau đó kích hoạt các giao dịch hoàn tiền, bán dữ liệu bị đánh cắp trên chợ đen hoặc sử dụng để khởi động các cuộc tấn công kỹ thuật xã hội như lừa đảo.
Tất cả 10 API bị rò rỉ hiện đã bị vô hiệu hóa. Tuy nhiên, CloudSEK khuyến cáo các nhà phát triển sớm nhận ra nguy cơ tiềm ẩn và thiết lập quy trình để ngăn lỗ hổng leo thang. Vì việc vô hiệu hóa khóa tích hợp thanh toán sẽ khiến ứng dụng ngừng hoạt động, ảnh hưởng đến người dùng và tổn thất tài chính.
Theo hãng CloudSEK: “Nên có một cơ chế để các nhà phát triển ứng dụng có thể giới hạn những gì có thể được thực hiện bằng cách sử dụng một khóa ở cấp độ chi tiết, giống như AWS đã làm. AWS đã đưa ra các chính sách quản lý truy cập và nhận dạng (IAM) có thể được sử dụng để định cấu hình quyền của mọi hoạt động trên nhóm S3. Phương thức này nên được áp dụng rộng rãi hơn để giảm thiểu những gì mà các tác nhân đe dọa có thể làm với các khóa API bị lộ”.