Уязвимость на сайте ПриватБанка позволяла просматривать историю платежей любого пользователя

image

Теги: уязвимость, атака, банк

Эксплуатируя брешь, злоумышленник мог осуществлять HPP-атаки.

Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей.

«Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь.

По словам Яремчука, достаточно было добавить в ссылку https://mypayments.privatbank.ua/biplan/getTemplateInfo/?&templateID=170574200&regular=undefined&token=f7a06071f91f613e56de38a0c58206fc TemplateID, при этом исследователь использовал свой токен.

В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется).  

BQSYDntVydE.jpg

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.