Пользователь сайта habrahabr.ru под псевдонимом @kromm при переводе денег через сервис card2card «Тинькофф Банка» обнаружил уязвимость, которая позволяет узнать баланс другой карты.
Во время заполнения соответствующей формы пользователь обратил внимание, что сервис неожиданно сообщил ему о нехватке средств на счету еще до того, как он отправил форму. То есть, получить данные о балансе карты можно было без каких-либо проверок, просто введя ее номер.
Как предположил @kromm, путем простого перебора сумм любой желающий мог узнать, сколько денег хранится на счету держателя карты. «Зная один лишь номер карты (который конечно информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей), можно узнать, сколько там денег», - отметил наблюдательный пользователь.Следя за изменениями баланса злоумышленники могли в режиме реального времени следить за перемещением средств на чужих счетах.
По словам @kromm, он сообщил об уязвимости «Тинькофф банку». На момент написания новости проблема уже была исправлена.
Во время заполнения соответствующей формы пользователь обратил внимание, что сервис неожиданно сообщил ему о нехватке средств на счету еще до того, как он отправил форму. То есть, получить данные о балансе карты можно было без каких-либо проверок, просто введя ее номер.
Как предположил @kromm, путем простого перебора сумм любой желающий мог узнать, сколько денег хранится на счету держателя карты. «Зная один лишь номер карты (который конечно информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей), можно узнать, сколько там денег», - отметил наблюдательный пользователь.Следя за изменениями баланса злоумышленники могли в режиме реального времени следить за перемещением средств на чужих счетах.
По словам @kromm, он сообщил об уязвимости «Тинькофф банку». На момент написания новости проблема уже была исправлена.
