Офтоп
Андрей Фролов

Пользователь «Хабрахабра» рассказал о способе определить баланс любой карты «Тинькофф банка» Статьи редакции

Пользователь «Хабрахабра» под ником @kromm заявил, что ему удалось найти способ проверить баланс любой карты «Тинькофф банка». По его словам, это стало возможно из-за ошибки на сайте компании.

Обновлено 12 августа в 01:20. В «Тинькофф банке» сообщили об устранении недоработки на сайте.

В своей статье @kromm объяснил, что попробовал воспользоваться системой перевода средств от «Тинькофф банка», которая не требует авторизации в интернет-банке. Он ввёл данные своей карты и сумму, превышающую его баланс, после чего получил отказ в проведении операции ещё до того, как попытался ещё совершить.

Подождите, ведь я же не нажал кнопку отправить! Откуда это взялось? Поигрался с суммой, проверяется реальная сумма на карте.

— @kromm

Позже автор статьи обнаружил, что если отредактировать запрос к сайту, подставив в него номер другой карты, то никакая дополнительная проверка проводиться не будет. То есть, при изменении суммы сервис так же будет сообщать, хватает ли средств на счёте для её перевода или нет.

Очевидно, что методом простого перебора легко подобрать сумму, ниже которой все ок, а выше уже ошибка — это и будет баланс карты. То есть, зная один лишь номер карты (это, конечно, информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей) можно узнать, сколько там денег. Причем, как показали эксперименты, никакие месячные лимиты на это не влияют.

— @kromm

По словам автора заметки, он сообщил в службу безопасности «Тинькофф банка» о найденной уязвимости, но не получил ответа.

На момент написания заметки представители «Тинькофф банка» не прокомментировали vc.ru сообщение об уязвимости, пообещав предоставить информацию позднее.

Обновлено в 23:46: Пользователь обновил свою статью на «Хабрахабре», отметив, что специалисты банка «сделали лимит обращений, скрипт больше не работает. Надеюсь, в скором времени закроют нормально».

Обновлено 12 августа в 01:20. Представители «Тинькофф банка» сообщили vc.ru, что ошибка на сайте устранена, а созданный пользователем скрипт для «определения баланса» не работает. По их словам, риска для средств клиентов эта ошибка не несла, так как любая операция требует подтверждения по одноразовому коду 3DS.

0
41 комментарий
Популярные
По порядку
Написать комментарий...

2 смеси этому джентельмену.

11

Зажигательные?

0

Ну формально смузи тоже смесь.

3

Я так понимаю, что никакой благодарности за найденную уязвимость ему не выразили?

6

за то, что объявил об этом всему интернету до закрытия дырки?

10

А как гарантировать авторство найденной уязвимости ? Только публикация в массмедиа, иначе хрен.

0

Отправить письмо либо по тлф через оператора дозвонить до безопасников.

0

И как доказать-то что ты её нашел ? записать телефонный разговор или заскринить отправку письма ?

0
Террористический месяц

Публичное раскрытие автоматически лишает любой награды. Так это работает у всех.

0

Доказательством будет являться то что ты сообщишь об уязвимосте которую до тебя никто не находил. Следовательно ты и нашел ее так как первый сообщил о ней.

0

В последнее время с благодарностями плохо. Намного выгодней получить пиар от публикации.

1

В качестве приза пользователь банка получит 273/274УКРФ, который ему любезно доставит СБ банка в ближайшее время.

–12

Пойду поплачу :(

5

И какое же преступление он совершил?

1

да вредоносную программу распространил, которая использует системы банка не так, как задумано.

–11

Он лишь описал уязвимость.
Где вы здесь программу увидели, еще и вредоносную.

18

В статье на хабре php скрипт.

8

вы не внимательно читали статью на хабре, код там есть

2

Избыточная нагрузка на сервера и системы банка

–2

Кто ты, о великий специалист в области права? Вы не практикуете в области юриспруденции надеюсь?

1

Жаль вам не понравилась пиар компания открытия bug bounty от банка(

–1

Вообще по хорошему whitehat-овскому надо было дождаться перед публикацией реакции банка. Сколько времени они ему не отвечали?

2

по комментариям в статье - пару-тройку дней, при этом на СБ банка он не вышел оперативно, просто написал в саппорт, необходимо при этом учитывать, что цикл обновления в банке по уязвимостям хоть и оперативен, но изменения в работающие системы без проверок, тестов и анализа не вносятся

2

Нда. Ок, он узнал баланс карты. Откуда он узнает данные владельца? Что он сделает с той информацией, которую узнал?

0

Денежные средства можно списать, зная лишь 16 цифр номера карты. А знание баланса карты позволит списать все одним махом.

7

А разве не нужен еще дополнительно CVV/CVC?

0

Не всегда. Скажем так, все зависит от мастерства исполнителя и продвинутости СБ.

1

Комментарий удален

Конкретно у тинькофф устанавливается не сам факт запроса кода, а лимит. И далеко не все зарубежные интернет-магазины не требуют код подтверждения. Потому я бы не был столь категоричен.

По поводу большего числа дробных списаний - выше шанс, что пользователь заметит. Одно дело, когда ушла сразу большая сумма. Пользователь спохватится, когда денег уже всех не будет. А если дробить, то пользователь заметит это, когда будет исчерпан еще не весь лимит. Тут все зависит от методики работы - тысячи, но чуть-чуть, или десятки/сотни, но под ноль.

0

Да, кстати, у Аэрофлота тоже заметил. Там прямо без кода смс все проходит. Встречался еще в паре мест с такой штукой, но думал, что из-за того, что суммы мелкие (до 1000) такое делают для упрощения, а тут Аэрофлот.

Мне нравится как в банке Санкт-Петербург добавили возможность подтверждения оплаты не смсками, а кодами через Google Authenticator, удобнее гораздо. Но не там своя специфика, смс коды при оплате по карте на других сайтах требуются все равно. У других такого не встречал, странно на самом деле

0

Для проведения транзакции достаточно и необходимо знать PAN (номер карты) и месяц/год окончания действия карты. Все остальное - необязательные навороты для безопасности. Банк-эквайер может их проверять, а может и нет.

0

Наоборот если он знает данные какого-то владельца, то может узнать баланс его карты.

2

Можно не дробить сумму при обналичивании. На некоторых забугорных сайтах при оплате не просит смс код. Думаю есть еще возможности обнала.

0

Тем не менее, уязвимость налицо.

2

спасибо бы что-ли сказали. Мудаки.

2

Забавно, что почти точно также работает способ узнать скрытый пользователем возраст ВК, если просто перебирать все даты и искать человека с определенным именем, пока не найдется он

1

Комментарий удален

Информация об остатке денег на счёте является банковской тайной. Статья о том, что банк лоханулся, позволяя любому человеку определить данные об остатке на счете любого человека чей номер карты в банке "Тинькофф" известен.

0

Осталось связать номер карты с конкретным человеком (под конкретным я понимаю полное ФИО, д/м/с рождения и возможно телефон. Ну чтобы полностью соответствовать закону о защите перс.данных или что такое банковская тайна. А если человек сам слил все эти данные в публ.доступ - то банк конечно же сразу и виноват.

0

У авангарда можно узнать по ФИО (даже без О) паспортные данные и прописку, если сходить в офис, это норм, никто новосте не делал

http://www.banki.ru/services/responses/bank/response/8214792/

см недостатки п.4

0

Комментарий удален

Тинькоф отстой. У меня была карта. Снимают средства не сразу а через 1-2 дня. Я завёл рокет банк и нежалею. Пользуясь больше 1 года.

–5

Виктор, перелогинтесь, вы перепутали аккаунты, Ваша фамилия должна быть Лысенко.

0
Читать все 41 комментарий
«Сбер» запустит агентство для продажи рекламы на всех площадках экосистемы Статьи редакции

Обсуждается использование банкоматов, как дополнительного места для объявлений, сообщают близкие к запуску источники.

Запустить игру и не прогореть: зачем нужны маркетинговые исследования в гейминге и как их проводить

Маркетинговое исследование помогает экономить сотни тысяч долларов и выпускать продукты, которые приносят миллионы.

Авито не возвратило деньги оплаченные мною за товар который не получал + доставку!

Заказал товар с другого города через Авито доставку, но после оформления заказа и оплаты выяснилось, что товар ремонтированный, и меня это не устроило, в этот же час я обратился к Авито поддержке чтобы отменили заказ, но поддержка отвечала и отвечает шаблонными фразами - мы свяжемся со службой доставки и ответим вам на почту....

Как я всё бросил и стал Тиктокером

От учёбы в топовом вузе и сеньорской позиции в IT до кривляния на камеру и заработка на рекламе.

Удаленное трудоустройство - плюсы и минусы. Юридический взгляд
Наводим порядок и изучаем rocket sience. Доклады Go meetup

На прошедшем Go meetup спикеры из Evrone, «Ситимобил» и «Авито» учили правильной организации кода микросервиса, рассказывали, как вырастить MVP в полноценную масштабируемую архитектуру, и разобраться с мусором и алгоритмами управления памятью. Все доклады записаны в студии и доступны для просмотра.

Маркировка молочной продукции

В 2021 году в России начала действовать маркировка молочной продукции. У нее есть особенности: в процессе участвуют типографии и предприятия общепита. Разбираемся, что нужно знать о работе по новым правилам и кого они затронут.

Люди выбирают сами, что хотят носить. Как сделать мерч лидером «продаж» во внутреннем магазине «ВсеИнструменты.ру»

Мы полагали, что корпоративный мерч сотрудникам можно только подарить, но оказывается, «продажа» мерча за внутрекорпоративную валюту более эффективна.

Питч-дейтинг выпуск третий: комбайнеры

Рассказываем историю продакта «Яндекса», который решил помочь фермерам, а также составляем свой словарик стартапера.

Такие дела: жалоба на «Яндекс.Такси» за отказ перевозить собаку-поводыря

Девушка с нарушением зрения подала жалобу в прокуратуру из-за того, что водители популярного сервиса такси «Яндекс Go» слишком часто отказываются возить ее с собакой-поводырем.

null