Stfw.RuПользователь сайта habrahabr.ru под псевдонимом @kromm во время перевода денежных средств своему другу через сервис card2card «Тинькофф Банка» обнаружил уязвимость, позволяющую узнать баланс карты. Во время заполнения соответствующей формы пользователь обратил внимание на то, что сервис неожиданно сообщил ему о нехватке средств на счету еще до того, как он успел отправить форму. То есть, получить данные о балансе карты можно было без каких-либо проверок, просто введя ее номер.
Как предположил @kromm, путем простого перебора сумм любой желающий мог узнать, сколько денег хранится на счету держателя карты. «Зная один лишь номер карты (который конечно информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей), можно узнать, сколько там денег», - отметил наблюдательный пользователь.
Следя за изменениями баланса злоумышленники могли в
режиме реального времени следить за перемещением средств на чужих счетах. По
словам @kromm, он сообщил об уязвимости «Тинькофф
банку». На момент написания новости проблема уже была исправлена.
