عيب مزود بوابة الدفع الشهير: المعاملات بنفس OTP

تعمل بوابات الدفع، مثل CCavenue و PayUbiz، على تسهيل المدفوعات على آلاف البوابات الإلكترونية. ويثق العملاء ضمنيًا بهم لتأمين معاملاتهم. ولكن، مثل أبلغ عنها باحث أمني، أدى خلل في التصميم المنطقي لإصدار سابق من بوابة الدفع الشهيرة إلى تعريض عملائها للخطر. ويرجع ذلك إلى أن بوابة الدفع لم تميز بين المعاملات التي بدأت في نفس الإطار الزمني.

تعمل بوابات الدفع كقناة اتصال بين التجار والبنوك لإجراء معاملات آمنة. تقوم البوابة بتشفير معلومات المعاملة، والتي تتضمن رقم بطاقة الائتمان/الخصم، ورقم CVV، وتاريخ انتهاء الصلاحية، وما إلى ذلك، وتمرر المعلومات إلى معالج الدفع، الذي يعمل كحلقة وصل بين بنك المستخدم والبنك التجاري. تؤكد البوابة الدفع، ما لم تكن المعلومات غير صحيحة. بعد ذلك، يقوم المعالج بتسوية الدفعة مع بنك التاجر.

كلمات مرور لمرة واحدة للبوابات

من أجل تأمين المعاملات، تضيف بوابات الدفع ثلاثية الأبعاد كلمات مرور لمرة واحدة (OTPs) المستندة إلى الوقت كطبقة إضافية من المصادقة. لا تقبل بوابة الدفع سوى OTP المستندة إلى الوقت والمقدمة ضمن الإطار الزمني المسموح به. بعد ذلك لا يكون OTP صالحًا. على الرغم من أن هذه الطبقة الإضافية من المصادقة يجب أن تؤمن المعاملات، إلا أن البوابة الضعيفة يمكن أن تقلل من فعاليتها. يمكن لبوابة الدفع غير القادرة على التمييز بين المعاملات أن تسمح بالمعاملات غير المصرح بها.

عيب في تصميم بوابة الدفع الشعبية

• فشلت بوابة الدفع الشائعة في التمييز بين المعاملات التي تتم معالجتها خلال إطار زمني واحد يبلغ 180 ثانية.
• لذلك، يكون OTP الذي تم إنشاؤه للمعاملة صالحًا للمعاملات الأخرى، في نفس الفترة الزمنية. بغض النظر عن المبلغ أو الموقع الجغرافي.
• تزيد هذه الثغرة الأمنية من احتمالات هجوم man-in-the-middle (MITM) الذي يقوم المهاجم من خلاله بتزوير الطلب. 
• وإذا ظل OTP غير مستخدم خلال الثواني أو الدقائق القليلة الأولى، فإنه يسمح للمهاجمين بإجراء معاملات احتيالية خلال فترة صلاحية OTP.

شرح الخلل من خلال سيناريو

• يبدأ المستخدم معاملة مشروعة لـ Re.1.
• يحصلون على OTP، على رقم هاتفهم المحمول المسجل، وهو صالح لمدة 180 ثانية.
• قبل أن يقوم المستخدم بتطبيق OTP لتلك المعاملة، يقوم المهاجم باعتراض OTP ويستخدمه لمعالجة معاملة بقيمة 1000 روبية. بغض النظر عن موقع المهاجم ومبلغ المعاملة، تعتبر المعاملة الاحتيالية مشروعة. ويتلقى المهاجم المبلغ بنجاح.

  

التحقق من عيب بوابة الدفع الشهيرة

قام فريق البحث في CloudSek باختبار Popular مع أنظمة مصرفية مختلفة لتأكيد الخلل. وجدنا أن نفس رمز OTP صالح لمدة 180 ثانية أو أكثر، لأي معاملة، بشرط ألا يكون OTP قد تم استخدامه بالفعل. لقطات الشاشة أدناه تثبت نفس الشيء:

الخاتمة

مع تزايد عدد المعاملات عبر الإنترنت، فإن العيوب مثل Popular Payment Gateway تجعل المستخدمين عرضة للتهديدات. وبصرف النظر عن الخسائر المالية، يمكن أن تؤثر على سمعة بوابة الدفع والبوابات الإلكترونية التي تستخدمها.

ملاحظة: أصبحت بوابة الدفع الشهيرة على علم بهذا العيب في 3 أغسطس 2019. أغلق فريق الأمان في Popular Payment Gateway المشكلة ووضع علامة عليها كوظيفة معروفة في 12 أغسطس 2019. وأفصح علنًا عن الخلل في 25 أغسطس 2019. توصي Popular Payment Gateway بأن تقوم البوابات التي تستخدم بوابة الدفع الخاصة بها بإصلاح الثغرة الأمنية لتجنب الحوادث الأمنية.