курс цб на 23.06:
60.1482
67.1495
Лента новостей
Безопасность
Digital banking ДБО как фабрика user experience
22 июня 2017 12:00
Количество просмотров 4 просмотра
ЖУРНАЛ ПЛАС №5 Календарь событий
20 июня 2017 18:12
Количество просмотров 13 просмотров
ЖУРНАЛ ПЛАС №5 17 моментов безопасности
20 июня 2017 16:12
Количество просмотров 20 просмотров
Регуляторы ЦБ снизил ключевую ставку до 9%
16 июня 2017 14:29
Количество просмотров 214 просмотров

Клиент обнаружил уязвимость сервиса Тинькофф Банка по переводу денег

Количество просмотров62 просмотра

Держатель карты Тинькофф Банка обнаружил уязвимость сервиса кредитной организации card2card, который позволяет физлицам переводить деньги с карты на карту. По словам пользователя, благодаря уязвимости сервиса он смог получить данные о балансах «пластика» других клиентов банка.

Как рассказал пользователь, он ввел данные своей карты и сумму перевода, превышающую остаток по карточному счету. Сервис card2card, который не требует авторизации в интернет-банке, выдал сообщение об ошибке и отказе от проведения операции. Но это произошло еще до того, как держатель карты попытался совершить трансакцию, то есть до нажатия кнопки «Перевести».

Затем клиент кредитной организации снова попробовал воспользоваться сервисом, предварительно отредактировав запрос к сайту Тинькофф Банка. Для этого он подготовил специальный «скрипт», после чего подставил в соответствующее поле номер другой карты. Пользователь обнаружил, что при этом card2card не проводит дополнительную проверку и также сообщает, хватает ли на карте средств для осуществления перевода.

Сам держатель карты Тинькофф Банка сообщил, что таким образом можно узнать баланс по карте любого пользователя. Впрочем, эксперты указывают, что таким способом можно лишь проверить, хватит ли денег на карте для проведения транзакции.

Представители Тинькофф Банка сообщили, что ошибка на сайте устранена, а созданный пользователем скрипт для «определения баланса» не работает. По их словам, риска для средств клиентов эта ошибка не несла, так как любая операция требует подтверждения по одноразовому коду 3D-Secure.

По материалам Vc.ru, Lenta.ru





В рубриках:
Безопасность