Пользователи интернета нашли серьезный баг в работе сервиса "Тинькофф Банка"

Пользователи интернета нашли серьезный баг в работе сервиса "Тинькофф Банка" Источник фото: antikor.com.ua

В сервисе "Тинькофф Банка" card2card найдена существенная уязвимость, которая позволяет любому человеку получить данные о балансе чужой карты. Баг обнаружил пользователь "Хабрахабра" под ником @kromm.

Пользователь рассказал, что обратил внимание на эту уязвимость, когда ему пришлось переводить деньги своему другу. Как он отметил, сервис сообщил, что для осуществления операции у него недостаточно средств на карте. Таким образом, card2card показывает, хватает ли денег для перевода, когда пользователь вводит только номер карты.

Выходит, что зная лишь номер карты, можно без труда выяснить, сколько на ней денег, уверяет пользователь. После этого он повторил эти действия с другими картами. Во всех случаях банк сообщал о том, достаточно ли у владельцев карт средств и при этом дополнительная проверка не понадобилась.

После своих экспериментов @kromm связался со службой безопасности "Тинькофф банка". К этому времени уязвимость уже устранена.

Источник: informing.ru