AWS-ის სერიოზული ხარვეზი: ერთმა სიმბოლომ ფინტექ-სტარტაპი გააშიშვლა

უსაფრთხოების მკვლევარმა AWS API Gateway-ში კრიტიკული ხარვეზი აღმოაჩინა. მხოლოდ ერთი სიმბოლოს დამატებით, ჰაკერმა ავტორიზაცია გვერდს აუარა და 12 000 დოლარი გამოიმუშავა.

SPREEDi

26 მაისი, 2026 · 10:382 წუთის წასაკითხი

გააზიარე

რა ვიცით ჯერჯერობით

მკვლევარმა აღმოაჩინა, რომ API-ის მისამართის ბოლოში დახრილი ხაზის დამატებით ავტორიზაცია გვერდს ავლიდა.
AWS HTTP API-ის მარშრუტიზაციის ლოგიკა და ავტორიზაციის კონტექსტი ერთმანეთთან შეუსაბამო იყო.
ხარვეზის გამოყენებით შესაძლებელი იყო არა მხოლოდ მონაცემების ნახვა, არამედ ტრანზაქციების განხორციელება.
კომპანიამ პრობლემა REST API-ზე გადასვლით და კოდის დონეზე დამატებითი ვალიდაციით მოაგვარა.

თანამედროვე ციფრული უსაფრთხოება ზოგჯერ ყველაზე მარტივ შეცდომებზე ირღვევა. უსაფრთხოების მკვლევარმა, რომელმაც ფინტექ-კომპანიის მობილური აპლიკაციის API შეისწავლა, აღმოაჩინა, რომ სისტემის დაცვა მარტივი მანიპულაციით შეიძლებოდა.

ერთი სიმბოლოს ძალა

მკვლევარმა შენიშნა, რომ მოთხოვნა GET /v1/accounts სისტემის მხრიდან 401 (Unauthorized) შეცდომას აბრუნებდა. თუმცა, იმავე მისამართის ბოლოში დამატებითი სიმბოლოს, კერძოდ, დახრილი ხაზის (trailing slash) დამატებამ — GET /v1/accounts/ — სისტემიდან 200 (OK) პასუხი და მომხმარებლის სრული მონაცემები გამოიწვია.

აღმოჩნდა, რომ AWS HTTP API-ის მარშრუტიზაციის მექანიზმები ერთმანეთს არ ეთანხმებოდნენ. როდესაც მომხმარებელი მისამართს ბოლოში დახრილი ხაზით უგზავნიდა, სისტემა მას ავტომატურად ასწორებდა, თუმცა ამ პროცესში ავტორიზაციის კონტექსტი იკარგებოდა.

როგორ მუშაობდა დაცვის გვერდის ავლა?

AWS HTTP API იყენებს ე.წ. „ხარბ“ (greedy) შესაბამისობას. სისტემამ /v1/accounts/ აღიქვა როგორც /v1/accounts-ის პრეფიქსი. პროცესი შემდეგნაირად განვითარდა:

ავტორიზაციის მექანიზმმა შეამოწმა ორიგინალი მისამართი და დაუშვა მოთხოვნა.
API Gateway-მა მისამართი გადაწერა და დახრილი ხაზი მოაშორა.
ინტეგრაციის ფენამ მონაცემები უკვე ავტორიზაციის კონტექსტის გარეშე დაამუშავა.

შედეგად, სისტემა მოთხოვნას ისე ასრულებდა, თითქოს ის ვალიდური ყოფილიყო, თუმცა მომხმარებლის იდენტიფიკატორი (userId) უკვე დაკარგული იყო. ეს ხარვეზი იმდენად მასშტაბური იყო, რომ მკვლევარმა შეძლო ტრანზაქციების ინიცირებაც კი, ყოველგვარი JWT ტოკენის გარეშე.

გაკვეთილი დეველოპერებისთვის

მკვლევარმა ექსპერიმენტის ფარგლებში 0.01 დოლარის ოდენობის საცდელი ტრანზაქცია განახორციელა, რომელიც წარმატებით დასრულდა. კომპანიამ ხარვეზის შესახებ ინფორმაციის მიღებისთანავე, მეორე დღესვე მოახდინა რეაგირება.

უსაფრთხოების გაძლიერების მიზნით, კომპანიამ HTTP API-დან უფრო მკაცრ REST API-ზე გადაინაცვლა. გარდა ამისა, დაინერგა დამატებითი შემოწმებები თითოეულ Lambda ფუნქციაში, რათა მომხმარებლის იდენტიფიკაცია მხოლოდ ავტორიზაციის ეტაპზე არ იყოს დამოკიდებული.

ამ აღმოჩენისთვის მკვლევარმა კომპანიისგან 12 000 აშშ დოლარის ოდენობის ჯილდო მიიღო, რომლის დახარჯვასაც დუბაიში მოგზაურობით გეგმავს.

რატომ აქვს ამას მნიშვნელობა

ეს შემთხვევა ნათლად აჩვენებს, რომ ტექნოლოგიური გიგანტების, როგორიც AWS-ია, ინსტრუმენტების გამოყენებაც კი არ არის უსაფრთხოების გარანტია, თუ დეველოპერები მათ სწორ კონფიგურაციას არ მოახდენენ. ქართული ფინტექ-კომპანიებისთვის, რომლებიც აქტიურად იყენებენ ღრუბლოვან სერვისებს, ეს არის შეხსენება, რომ უსაფრთხოების პოლიტიკა უნდა იყოს მრავალფენიანი და არ უნდა ეყრდნობოდეს მხოლოდ ერთ, გარე ფენას.

თეგები#AWS #API #კიბერუსაფრთხოება #ფინტექ #ჰაკინგი

ხშირად დასმული კითხვები

მიზეზი იყო მისამართის გადაწერის პროცესი, რომლის დროსაც სისტემამ დაკარგა ავტორიზაციის კონტექსტი და მოთხოვნა გაუშვა იდენტიფიკატორის გარეშე.
ეს არის API Gateway-ის მექანიზმი, რომელიც მისამართებს პრეფიქსების მიხედვით ამთხვევს, რაც არასწორი კონფიგურაციის შემთხვევაში უსაფრთხოების ხარვეზებს იწვევს.
აუცილებელია ავტორიზაციის ვალიდაცია არა მხოლოდ კარიბჭესთან (Gateway), არამედ უშუალოდ ბიზნეს-ლოგიკის (Lambda ფუნქციების) დონეზე.