В сети нашли способ узнать баланс чужой банковской карты

Пользователь «Хабрахабра» под ником @kromm сделал заявление, что нашел на портале «Тинькофф банка» card2card уязвимость, дающую возможность выяснить баланс чужой карты.

По словам мужчины, он раскрыл ее во время перевода денег своему другу. Он не оставил без внимания факт, что сервис проинформировал его о недостаточности денег для выполнения операции до ее окончания. Выяснилось, что card2card отображает, достаточно ли пользователю средств для перевода, когда тот вводит лишь только номер карты.

«Очевидно, что методом простого перебора легко подобрать сумму, ниже которой все ок, а выше уже ошибка — это и будет баланс карты. То есть, зная один лишь номер карты (который конечно информация не слишком публичная, но и не критичная, многие дают номера карт друзьям и даже выкладывают их в интернет для получения платежей), можно узнать, сколько там денег», — подытожил @kromm.

После этого он снова проделал свой эксперимент с иными картами. Каждый раз банк без дополнительной проверки информировал о том, хватает ли у их собственников денег на выполнение конкретной операции.

По мнению пользователя, посредством найденной уязвимости преступники способны в реальном времени отслеживать все перемещения денег на чужих счетах.

Мужчина отметил, что связался со службой безопасности «Тинькофф банка». Ко времени написания заметки уязвимость уже была устранена.