Користувач «Хабрахабр» заявив, що виявив в сервісі «Тінькофф банку» card2card вразливість, що дозволяє дізнатися баланс чужий карти.
Користувач з ніком @kromm заявив про уразливість інтернет-ресурсу "Тінькофф банку". Хакер розповів, що виявив недоробку випадково, коли сам користувався сервісом card2card для переказу грошей знайомому. З'ясувалося, що для з'ясування балансу чужого рахунку достатньо номера платіжної картки, пише Лайф.
"Тобто, знаючи один лише номер картки (який, звичайно, інформація не надто публічна, але і не критична, багато дають номери карт друзям і навіть викладають іцшеввац їх в Інтернет для отримання платежів), можна дізнатися, скільки там грошей, - написав @kromm. - Причому, як показали експерименти, ніякі місячні ліміти на це не впливають. "Дірка" не критична, але доступність цієї інформації в реальному часі дозволяє відстежувати всі витрати / поповнення - а це вже серйозніше ".
«Очевидно, що методом простого перебору легко підібрати суму, нижче якої все ок, а вище вже помилка - це і буде баланс карти. Тобто, знаючи один лише номер картки (який звичайно інформація не надто публічна, але і не критична, багато дають номери карт друзям і навіть викладають їх в інтернет для отримання платежів), можна дізнатися, скільки там грошей », - уклав @kromm.
Потім він повторив свій експеримент з іншими картами. У всіх випадках банк без додаткової перевірки повідомляв про те, чи достатньо у їх власників засобів для здійснення певної операції, зазначає Лента.ру.
Він зазначив, що за допомогою виявленої уразливості зловмисники можуть в реальному часі відстежувати всі рухи коштів на чужих рахунках.