Альфа-Банк Україна входить в ТОП-5 за кількістю активних карт серед всіх українських банків і має досить непоганий інтернет-банкінг My Alfa-Bank.
Звичайно, якщо кошти перевести, я побачу повні ПІБ одержувача.
Але і одержувач побачить мої - так що на цьому етапі перевірка закінчена.
Переходжу в останні операції, щоб подивитися на деталі цього тесту:
Нічого цікавого - при наведенні курсору миші на таку операцію немає цікавлять мене даних.
І я, знаючи, що робота з мобільними додатками може бути реалізована інакше, вирішую перевірити це на Android.
Добре для клієнтів, але шкода для мене. Скасовую операцію.
Однак йду перевірити даний переклад в останніх операціях в web-версії - та так, в деталях платежу, який я перевіряв в мобільному додатку, відображаються поля «Відправник платежу» і «Одержувач платежу»!
Так, вразливість знайдена.
30 травня - перший лист, в якому я вказую посилання на запаролений документ з скріншот з детальним описом проблеми;