Оффтоп Andrey Frolov
26 817

Пользователь «Хабрахабра» рассказал о способе определить баланс любой карты «Тинькофф банка»

Пользователь «Хабрахабра» под ником @kromm заявил, что ему удалось найти способ проверить баланс любой карты «Тинькофф банка». По его словам, это стало возможно из-за ошибки на сайте компании.

Обновлено 12 августа в 01:20. В «Тинькофф банке» сообщили об устранении недоработки на сайте.

В своей статье @kromm объяснил, что попробовал воспользоваться системой перевода средств от «Тинькофф банка», которая не требует авторизации в интернет-банке. Он ввёл данные своей карты и сумму, превышающую его баланс, после чего получил отказ в проведении операции ещё до того, как попытался ещё совершить.

Подождите, ведь я же не нажал кнопку отправить! Откуда это взялось? Поигрался с суммой, проверяется реальная сумма на карте.

— @kromm

Позже автор статьи обнаружил, что если отредактировать запрос к сайту, подставив в него номер другой карты, то никакая дополнительная проверка проводиться не будет. То есть, при изменении суммы сервис так же будет сообщать, хватает ли средств на счёте для её перевода или нет.

Очевидно, что методом простого перебора легко подобрать сумму, ниже которой все ок, а выше уже ошибка — это и будет баланс карты. То есть, зная один лишь номер карты (это, конечно, информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей) можно узнать, сколько там денег. Причем, как показали эксперименты, никакие месячные лимиты на это не влияют.

— @kromm

По словам автора заметки, он сообщил в службу безопасности «Тинькофф банка» о найденной уязвимости, но не получил ответа.

На момент написания заметки представители «Тинькофф банка» не прокомментировали vc.ru сообщение об уязвимости, пообещав предоставить информацию позднее.

Обновлено в 23:46: Пользователь обновил свою статью на «Хабрахабре», отметив, что специалисты банка «сделали лимит обращений, скрипт больше не работает. Надеюсь, в скором времени закроют нормально».

Обновлено 12 августа в 01:20. Представители «Тинькофф банка» сообщили vc.ru, что ошибка на сайте устранена, а созданный пользователем скрипт для «определения баланса» не работает. По их словам, риска для средств клиентов эта ошибка не несла, так как любая операция требует подтверждения по одноразовому коду 3DS.

#новость #уязвимости #Тинькофф_банк

{ "author_name": "Andrey Frolov", "author_type": "editor", "tags": ["\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u0442\u0438\u043d\u044c\u043a\u043e\u0444\u0444_\u0431\u0430\u043d\u043a","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 41, "likes": 35, "favorites": 1, "is_advertisement": false, "subsite_label": "flood", "id": 17587, "is_wide": true, "is_ugc": false, "date": "Thu, 11 Aug 2016 23:16:21 +0300" }
{ "id": 17587, "author_id": 14066, "diff_limit": 1000, "urls": {"diff":"\/comments\/17587\/get","add":"\/comments\/17587\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/17587"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791 }

41 комментарий 41 комм.

Популярные

По порядку

Написать комментарий...
11

2 смеси этому джентельмену.

Ответить
0

Зажигательные?

Ответить
3

Ну формально смузи тоже смесь.

Ответить
6

Я так понимаю, что никакой благодарности за найденную уязвимость ему не выразили?

Ответить
10

за то, что объявил об этом всему интернету до закрытия дырки?

Ответить
0

А как гарантировать авторство найденной уязвимости ? Только публикация в массмедиа, иначе хрен.

Ответить
0

Отправить письмо либо по тлф через оператора дозвонить до безопасников.

Ответить
0

И как доказать-то что ты её нашел ? записать телефонный разговор или заскринить отправку письма ?

Ответить
0

Публичное раскрытие автоматически лишает любой награды. Так это работает у всех.

Ответить
0

Доказательством будет являться то что ты сообщишь об уязвимосте которую до тебя никто не находил. Следовательно ты и нашел ее так как первый сообщил о ней.

Ответить
1

В последнее время с благодарностями плохо. Намного выгодней получить пиар от публикации.

Ответить
–12

В качестве приза пользователь банка получит 273/274УКРФ, который ему любезно доставит СБ банка в ближайшее время.

Ответить
5

Пойду поплачу :(

Ответить
1

И какое же преступление он совершил?

Ответить
–11

да вредоносную программу распространил, которая использует системы банка не так, как задумано.

Ответить
18

Он лишь описал уязвимость.
Где вы здесь программу увидели, еще и вредоносную.

Ответить
8

В статье на хабре php скрипт.

Ответить
2

вы не внимательно читали статью на хабре, код там есть

Ответить
–2

Избыточная нагрузка на сервера и системы банка

Ответить
1

Кто ты, о великий специалист в области права? Вы не практикуете в области юриспруденции надеюсь?

Ответить
–1

Жаль вам не понравилась пиар компания открытия bug bounty от банка(

Ответить
2

Вообще по хорошему whitehat-овскому надо было дождаться перед публикацией реакции банка. Сколько времени они ему не отвечали?

Ответить
2

по комментариям в статье - пару-тройку дней, при этом на СБ банка он не вышел оперативно, просто написал в саппорт, необходимо при этом учитывать, что цикл обновления в банке по уязвимостям хоть и оперативен, но изменения в работающие системы без проверок, тестов и анализа не вносятся

Ответить
0

Нда. Ок, он узнал баланс карты. Откуда он узнает данные владельца? Что он сделает с той информацией, которую узнал?

Ответить
7

Денежные средства можно списать, зная лишь 16 цифр номера карты. А знание баланса карты позволит списать все одним махом.

Ответить
0

А разве не нужен еще дополнительно CVV/CVC?

Ответить
1

Не всегда. Скажем так, все зависит от мастерства исполнителя и продвинутости СБ.

Ответить

Комментарий удален

0

Конкретно у тинькофф устанавливается не сам факт запроса кода, а лимит. И далеко не все зарубежные интернет-магазины не требуют код подтверждения. Потому я бы не был столь категоричен.

По поводу большего числа дробных списаний - выше шанс, что пользователь заметит. Одно дело, когда ушла сразу большая сумма. Пользователь спохватится, когда денег уже всех не будет. А если дробить, то пользователь заметит это, когда будет исчерпан еще не весь лимит. Тут все зависит от методики работы - тысячи, но чуть-чуть, или десятки/сотни, но под ноль.

Ответить
0

Да, кстати, у Аэрофлота тоже заметил. Там прямо без кода смс все проходит. Встречался еще в паре мест с такой штукой, но думал, что из-за того, что суммы мелкие (до 1000) такое делают для упрощения, а тут Аэрофлот.

Мне нравится как в банке Санкт-Петербург добавили возможность подтверждения оплаты не смсками, а кодами через Google Authenticator, удобнее гораздо. Но не там своя специфика, смс коды при оплате по карте на других сайтах требуются все равно. У других такого не встречал, странно на самом деле

Ответить
0

Для проведения транзакции достаточно и необходимо знать PAN (номер карты) и месяц/год окончания действия карты. Все остальное - необязательные навороты для безопасности. Банк-эквайер может их проверять, а может и нет.

Ответить
2

Наоборот если он знает данные какого-то владельца, то может узнать баланс его карты.

Ответить
0

Можно не дробить сумму при обналичивании. На некоторых забугорных сайтах при оплате не просит смс код. Думаю есть еще возможности обнала.

Ответить
2

Тем не менее, уязвимость налицо.

Ответить
2

спасибо бы что-ли сказали. Мудаки.

Ответить
1

Забавно, что почти точно также работает способ узнать скрытый пользователем возраст ВК, если просто перебирать все даты и искать человека с определенным именем, пока не найдется он

Ответить

Комментарий удален

0

Информация об остатке денег на счёте является банковской тайной. Статья о том, что банк лоханулся, позволяя любому человеку определить данные об остатке на счете любого человека чей номер карты в банке "Тинькофф" известен.

Ответить
0

Осталось связать номер карты с конкретным человеком (под конкретным я понимаю полное ФИО, д/м/с рождения и возможно телефон. Ну чтобы полностью соответствовать закону о защите перс.данных или что такое банковская тайна. А если человек сам слил все эти данные в публ.доступ - то банк конечно же сразу и виноват.

Ответить
0

У авангарда можно узнать по ФИО (даже без О) паспортные данные и прописку, если сходить в офис, это норм, никто новосте не делал

http://www.banki.ru/services/responses/bank/response/8214792/

см недостатки п.4

Ответить

Комментарий удален

–5

Тинькоф отстой. У меня была карта. Снимают средства не сразу а через 1-2 дня. Я завёл рокет банк и нежалею. Пользуясь больше 1 года.

Ответить
0

Виктор, перелогинтесь, вы перепутали аккаунты, Ваша фамилия должна быть Лысенко.

Ответить
0

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров
Подписаться на push-уведомления