Уязвимости «Ощадбанка»: проблемы безопасности сайта и платежных терминалов

На сайте «Хабрахабр» вышел материал о проблемах безопасности, найденных пользователем в различных сервисах «Ощадбанка».

В частности, сообщается об уязвимостях «Ощадбанка» в части настроек интернет-сайта и платежных терминалов: на сайте без авторизации были доступны конфигурационные файлы и логи оплат клиентов, заказавших платежную карту Visa, а в платежных терминалах было доступно полное управление операционной системой самого терминала и журнал транзакций, совершенных в нем клиентами.

Например, зная номер мобильного телефона клиента «Ощадбанка», можно получить доступ к операциям, совершаемым им в платежных терминалах. В меню терминала для входа в личный кабинет нужно ввести мобильный номер телефона. В «ПриватБанке» и терминалах других платежных компаний после ввода номера телефона на него отправляется одноразовый код, который необходимо ввести для авторизации, или авторизация происходит другим способом. В «Ощадбанке» же никакой авторизации нет – вы просто вводите номер телефона и получаете доступ к сохраненным платежам, закрепленным за данным номером телефона клиента.

Также в материале описаны ошибки в реализации функции переводов с карты на карту по номеру телефона в интернет-банкинге», благодаря которой можно получить актуальное имя пользователя и первую букву его фамилии. В материале также указано о возможности получения нового аккаунта в интернет-банкинге «Ощад 24/7 с помощью выдаваемой банком prepaid-карты Visa.

По словам автора материала, ответов на его сообщения об уязвимостях, кроме шаблонных, не было, и некоторые уязвимости были исправлены банком без предоставления обратной связи.

Напомним, ранее мы рассказывали, что хакеры получили доступ к номерам телефонов и почте 6 млн. пользователей Instagram, а потом выставили их на продажу.