La mayoría de los usuarios que descargan sus aplicaciones móviles en las tiendas oficiales confían que son seguras y protegidas, pero no siempre es así. La compañía de ciberseguridad e inteligencia CloudSeK realizo una investigación que por lo menos 10 aplicaciones móviles que utilizan la pasarela de pago Razorpay exponen sus claves secretas, poniendo en riesgo los datos personales de los usuarios y posibles reembolsos de dinero no autorizados.
Las API es una parte integral del funcionamiento de una aplicación, por lo que los desarrolladores de aplicaciones deben tener cuidado con la forma en que manejan estas claves y siempre seguir prácticas de codificación seguras para evitar cualquier fuga de los datos de sus clientes, informaron los investigadores Arshit Jain y Sai Ahladini Tripathy de BeVigil Team
CloudSEK ha observado que una amplia gama de empresas, tanto grandes como pequeñas, que atienden a millones de usuarios, tienen aplicaciones móviles con claves API codificadas en los paquetes de aplicaciones. Estas claves podrían ser descubiertas fácilmente por ciberdelincuente o competidores malintencionados que podrían usarlas para comprometer los datos de los usuarios.
En la investigación realizada descubrieron que alrededor de 250 aplicaciones utilizan la API de Razorpay para transacciones financieras y el 5% de estas aplicaciones, es decir, 10 aplicaciones muestran la clave ID de integración de pago y su clave secreta.
Dado que supuestamente 8 millones de empresas usan Razorpay para facilitar los pagos, el número real de aplicaciones que exponen sus claves de API podría ser mucho mayor.
“Si bien esto no es una falla en Razorpay u otros servicios similares que brindan integraciones, es una evidencia de cómo los desarrolladores de aplicaciones manejan mal las claves de API. Por lo tanto, depende de las empresas individuales abordar las preocupaciones de seguridad asociadas con las pasarelas de pago”, informo CloudSeK.
Razorpay menciona en su contrato con sus asociados que las claves no deben ser expuestas en ninguna plataforma pública. Además, Hepsibah Rosario, jefe de Comunicación Corporativa y Marca de Razorpay comunico que algunos clientes que tenían sus claves expuestas fueron comunicados por la compañía.
