Уязвимость на сайте ПриватБанка позволяла просматривать историю платежей любого пользователя
Эксплуатируя брешь, злоумышленник мог осуществлять HPP-атаки.
Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей.
«Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь.
По словам Яремчука, достаточно было добавить в ссылку https://mypayments.privatbank.ua/biplan/getTemplateInfo/?&templateID=170574200®ular=undefined&token=f7a06071f91f613e56de38a0c58206fc TemplateID, при этом исследователь использовал свой токен.
В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется).
Устали от того, что Интернет знает о вас все?