Пользователь обнаружил уязвимость во время перевода средств через сервис card2card.
Пользователь сайта habrahabr.ru под псевдонимом @kromm во время перевода денежных средств своему другу через сервис card2card «Тинькофф Банка» о бнаружил уязвимость, позволяющую узнать баланс карты. Во время заполнения соответствующей формы пользователь обратил внимание на то, что сервис неожиданно сообщил ему о нехватке средств на счету еще до того, как он успел отправить форму. То есть, получить данные о балансе карты можно было без каких-либо проверок, просто введя ее номер.
Как предположил @kromm, путем простого перебора сумм любой желающий мог узнать, сколько денег хранится на счету держателя карты. «Зная один лишь номер карты (который конечно информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей), можно узнать, сколько там денег», - отметил наблюдательный пользователь.
Следя за изменениями баланса злоумышленники могли в режиме реального времени следить за перемещением средств на чужих счетах. По словам @kromm, он сообщил об уязвимости «Тинькофф банку». На момент написания новости проблема уже была исправлена.