Пользователь «Хабрахабра» под ником @kromm заявил, что обнаружил в сервисе «Тинькофф банка» card2card уязвимость, позволяющую узнать баланс чужой карты.
Мужчина рассказал, что заметил ее, когда переводил деньги своему другу. Он обратил внимание на то, что сервис сообщил ему о недостаточности средств для осуществления операции до ее завершения. Оказалось, что card2card показывает, хватает ли пользователю денег для перевода, когда тот вводит только номер карты.
«Очевидно, что методом простого перебора легко подобрать сумму, ниже которой все ок, а выше уже ошибка — это и будет баланс карты. То есть, зная один лишь номер карты (который конечно информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей), можно узнать, сколько там денег», — заключил @kromm.
Затем он повторил свой эксперимент с другими картами. Во всех случаях банк без дополнительной проверки сообщал о том, достаточно ли у их владельцев средств для осуществления определенной операции.
Он отметил, что с помощью обнаруженной уязвимости злоумышленники могут в реальном времени отслеживать все движения средств на чужих счетах.
Мужчина добавил, что связался со службой безопасности «Тинькофф банка». На момент написания заметки уязвимость была устранена.
В конце мая пользователь «Хабрахабра» обнаружил способ пополнять баланс московской транспортной карты «Тройка» без внесения денег. Позже метрополитен устранил уязвимость карты.