Een Indiase onderzoeker heeft allerlei kwetsbaarheden in de mobiele app van zijn bank ontdekt waardoor hij naar eigen zeggen miljarden dollars zou kunnen stelen. Onderzoeker Sathya Prakash publiceerde op zijn eigen blog een analyse van de bank-app, die allerlei kwetsbaarheden bleek te bevatten.

Zo gebruikte de bank geen certificaatpinning. De maatregel zorgt ervoor dat de app alleen certificaten accepteert die door bepaalde certificaatautoriteiten zijn uitgegeven. Verder bleek dat de app een fout bevatte waardoor het mogelijk was om zonder geldige inloggegevens rekeningnummers en afschriften op te vragen. Ook bleken sessie-id's van gebruikers niet te worden afgebroken, maar bleven in principe voor altijd bestaan.

De onderzoeker maakte vervolgens een script waarmee hij alle rekeningen van de bank kon opvragen en bekijken. Tijdens dit proces ontdekte hij een andere veel grotere kwetsbaarheid, namelijk dat hij geld van de ene naar de andere rekening kon overmaken zonder toestemming van de betreffende rekeninghouder. De onderzoeker testte dit met rekeningen van zijn familie en het bleek inderdaad mogelijk te zijn om op deze manier geld te stelen.

Prakash besloot de bank, waar klanten volgens cijfers van 2015 25 miljard dollar op hun spaarrekening hebben staan, begin november vorig jaar te waarschuwen. Na een week had hij nog steeds geen reactie gekregen. Pas na 12 dagen ontving hij een officiële reactie dat de bank maatregelen zou treffen. Daarop vroeg de onderzoeker of de bank een beloningsprogramma voor het melden van kwetsbaarheden heeft en wanneer de oplossingen worden doorgevoerd. Zes maanden zijn inmiddels verstrekken en Prakash heeft nog altijd geen reactie gekregen.