Un investigador de seguridad obtuvo una recompensa de 12.000 dólares por descubrir una vulnerabilidad crítica en la API de una empresa fintech que permitía el acceso no autorizado mediante un simple carácter: una barra inclinada al final de la ruta. El fallo radicaba en la configuración de AWS HTTP API, que utiliza coincidencia de rutas 'codiciosa' por defecto, lo que generaba una desconexión entre el verificador de autorización y la integración del backend. Al solicitar GET /v1/accounts/ en lugar de GET /v1/accounts, el sistema permitía el paso del autorizador (JWT) pero, al reescribir la ruta y eliminar la barra, perdía el contexto de autenticación del usuario. Esto permitía acceder a datos bancarios y realizar transferencias sin credenciales válidas. La empresa corrigió el error cambiando a REST API y validando el ID de usuario en cada función Lambda.
Un carácter permite bypass de autenticación en API Gateway y paga 12.000
