Пользователь «Хабрахабра» рассказал о способе определить баланс любой карты «Тинькофф банка»
Пользователь «Хабрахабра» под ником @kromm заявил, что ему удалось найти способ проверить баланс любой карты «Тинькофф банка». По его словам, это стало возможно из-за ошибки на сайте компании.
В своей статье @kromm объяснил, что попробовал воспользоваться системой перевода средств от «Тинькофф банка», которая не требует авторизации в интернет-банке. Он ввёл данные своей карты и сумму, превышающую его баланс, после чего получил отказ в проведении операции ещё до того, как попытался ещё совершить.
Подождите, ведь я же не нажал кнопку отправить! Откуда это взялось? Поигрался с суммой, проверяется реальная сумма на карте.
— @kromm
Позже автор статьи обнаружил, что если отредактировать запрос к сайту, подставив в него номер другой карты, то никакая дополнительная проверка проводиться не будет. То есть, при изменении суммы сервис так же будет сообщать, хватает ли средств на счёте для её перевода или нет.
Очевидно, что методом простого перебора легко подобрать сумму, ниже которой все ок, а выше уже ошибка — это и будет баланс карты. То есть, зная один лишь номер карты (это, конечно, информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей) можно узнать, сколько там денег. Причем, как показали эксперименты, никакие месячные лимиты на это не влияют.
— @kromm
По словам автора заметки, он сообщил в службу безопасности «Тинькофф банка» о найденной уязвимости, но не получил ответа.
На момент написания заметки представители «Тинькофф банка» не прокомментировали vc.ru сообщение об уязвимости, пообещав предоставить информацию позднее.
© vc.ru