Клиент обнаружил уязвимость сервиса Тинькофф Банка по переводу денег

Держатель карты Тинькофф Банка обнаружил уязвимость сервиса кредитной организации card2card, который позволяет физлицам переводить деньги с карты на карту. По словам пользователя, благодаря уязвимости сервиса он смог получить данные о балансах «пластика» других клиентов банка.

Как рассказал пользователь, он ввел данные своей карты и сумму перевода, превышающую остаток по карточному счету. Сервис card2card, который не требует авторизации в интернет-банке, выдал сообщение об ошибке и отказе от проведения операции. Но это произошло еще до того, как держатель карты попытался совершить трансакцию, то есть до нажатия кнопки «Перевести».

Затем клиент кредитной организации снова попробовал воспользоваться сервисом, предварительно отредактировав запрос к сайту Тинькофф Банка. Для этого он подготовил специальный «скрипт», после чего подставил в соответствующее поле номер другой карты. Пользователь обнаружил, что при этом card2card не проводит дополнительную проверку и также сообщает, хватает ли на карте средств для осуществления перевода.

Сам держатель карты Тинькофф Банка сообщил, что таким образом можно узнать баланс по карте любого пользователя. Впрочем, эксперты указывают, что таким способом можно лишь проверить, хватит ли денег на карте для проведения транзакции.

Представители Тинькофф Банка сообщили, что ошибка на сайте устранена, а созданный пользователем скрипт для «определения баланса» не работает. По их словам, риска для средств клиентов эта ошибка не несла, так как любая операция требует подтверждения по одноразовому коду 3D-Secure.

По материалам Vc.ru, Lenta.ru