Курс доллара и евро
 сейчас и на завтра

19:28
Покупка:
 
Продажа:
EUR
76,5975
EUR
76,6
USD
67,8875
USA
67,89
ООО «Компания БКС», лицензия №154-04434-100000 от 10.01.2001 на осуществление брокерской деятельности. Выдана ФСФР. Без ограничения срока действия.

В сети нашли способ узнать баланс чужой банковской карты при помощи сервиса с2с "Тинькофф банка". Оказалось, что card2card показывает, хватает ли пользователю денег для перевода, когда тот вводит только номер карты. На данный момент уязвимость уже устранена.

Пользователь «Хабрахабра» под ником @kromm заявил, что обнаружил в сервисе «Тинькофф банка» card2card уязвимость, позволяющую узнать баланс чужой карты.

Мужчина рассказал, что заметил ее, когда переводил деньги своему другу. Он обратил внимание на то, что сервис сообщил ему о недостаточности средств для осуществления операции до ее завершения. Оказалось, что card2card показывает, хватает ли пользователю денег для перевода, когда тот вводит только номер карты.

«Очевидно, что методом простого перебора легко подобрать сумму, ниже которой все ок, а выше уже ошибка — это и будет баланс карты. То есть, зная один лишь номер карты (который конечно информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей), можно узнать, сколько там денег», — заключил @kromm.

Затем он повторил свой эксперимент с другими картами. Во всех случаях банк без дополнительной проверки сообщал о том, достаточно ли у их владельцев средств для осуществления определенной операции.

Он отметил, что с помощью обнаруженной уязвимости злоумышленники могут в реальном времени отслеживать все движения средств на чужих счетах.

Мужчина добавил, что связался со службой безопасности «Тинькофф банка». На момент написания заметки уязвимость была устранена.

 

Последние новости

© Audit-it.ru, 2013 - 2018 Реклама на сайте
или оставьте свои отзывы и предложения
Для iOS:
Для Android: