В Сети нашли способ узнать, сколько денег на чужой банковской карте
Пользователь с ником @kromm заявил об уязвимости интернет-ресурса "Тинькофф банка". Хакер рассказал, что обнаружил недоработку случайно, когда сам пользовался сервисом card2card для перевода денег знакомому. Выяснилось, что для выяснения баланса чужого счёта достаточно номера пластиковой карты, пишет Лайф.
" То есть, зная один лишь номер карты (который, конечно, информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в Интернет для получения платежей), можно узнать, сколько там денег, — написал @kromm. — Причём, как показали эксперименты, никакие месячные лимиты на это не влияют. "Дырка" не критичная, но доступность этой информации в реальном времени позволяет отслеживать все расходы/пополнения — а это уже серьёзнее".
Оказалось, что card2card показывает, хватает ли пользователю денег для перевода, когда тот вводит только номер карты. Пользователь написал письмо в службу безопасности банка и указал на ошибку, попросив её исправить. Но, не получив ответа в течение трёх суток, хакер опубликовал информацию об уязвимости. Представители кредитного учреждения пока не прокомментировали информацию.
«Очевидно, что методом простого перебора легко подобрать сумму, ниже которой все ок, а выше уже ошибка — это и будет баланс карты. То есть, зная один лишь номер карты (который конечно информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей), можно узнать, сколько там денег», — заключил @kromm.
Затем он повторил свой эксперимент с другими картами. Во всех случаях банк без дополнительной проверки сообщал о том, достаточно ли у их владельцев средств для осуществления определенной операции, отмечает Лента.ру.
Он отметил, что с помощью обнаруженной уязвимости злоумышленники могут в реальном времени отслеживать все движения средств на чужих счетах.