Клиент «Тинькофф Банка» обнаружил способ узнать баланс чужой карты

Клиент «Тинькофф Банка» обнаружил способ узнать баланс чужой карты

Пользователь обнаружил уязвимость во время перевода средств через сервис card2card.

image

Пользователь сайта habrahabr.ru под псевдонимом @kromm во время перевода денежных средств своему другу через сервис card2card «Тинькофф Банка» о бнаружил уязвимость, позволяющую узнать баланс карты. Во время заполнения соответствующей формы пользователь обратил внимание на то, что сервис неожиданно сообщил ему о нехватке средств на счету еще до того, как он успел отправить форму. То есть, получить данные о балансе карты можно было без каких-либо проверок, просто введя ее номер.

Как предположил @kromm, путем простого перебора сумм любой желающий мог узнать, сколько денег хранится на счету держателя карты. «Зная один лишь номер карты (который конечно информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей), можно узнать, сколько там денег», - отметил наблюдательный пользователь.

Следя за изменениями баланса злоумышленники могли в режиме реального времени следить за перемещением средств на чужих счетах. По словам @kromm, он сообщил об уязвимости «Тинькофф банку». На момент написания новости проблема уже была исправлена.  

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.