На днях заметил уязвимость в программном обеспечении сайта Сбербанка России http://sbrf.ru, точнее ее системы Сбербанк-онлайн https://esk.sbrf.ru Бага заключается в том, что имеется возможность собирать некоторые данные о клиентах Банка. 1. Для использования уязвимости необходимо авторизироваться в системе Сбербанк-онлайн https://esk.sbrf.ru , введя свой идентификатор пользователя и пароль. 2. Далее выбираем функцию - перевод денег на карту, вбиваем номер карты и любую сумму. Жмем кнопку Перевести... 3. Система выдаеет информацию о получателе карты - ФИО полностью, город и номер карты и др. информацию. Далее Система запрашивает одноразовый пароль для подтверждения платежа. Вы отказываетесь от перевода денег. Таким образом , если заюзать некий скрипт перебора диапазона номеров карты с функцией записи ответной информации с сервера, то можно получить неплохую базу данных клиентов банка.... ЗЫ, Скрипта нет, все эксперементировалось вручную. Мини FAQ по номерам пластиковых карт http://kreditka.net/nomer-kreditnoy-karti.html
Фича интересная. При сливе базы останется собирать чеки возле банкоматов с остатками суммы на счете )) Далее дело за социнженерией ))
Nil$, а толку? У банкоматов номер карты заменен *** кое-где, поэтому толку 0 от этого. А так да, находка интересная.
там на чеках только первые и последние цифры . 1234 **** **** **хх 1234 середина все равно будет одинаковая. хотя все зависит от ПО банкомата )))
на ВК с привязкой к карте и банку? )) легче уж на трекере руборда БД любого региона качнуть Сам по себе способ не новый, но я не ожидал от СБ РФ такой оплошности
Я так понимаю, ты это проделывал на своей карте. На сайте присутствует некая привязка аккаунта к карте? Поскольку есть вероятность, что на других картах она не сработает. Надо дополнительно проверить, на своем акке, вбить допустим карту родственника.
В том то и дело, что я со своей кары хотел перевести бабки на левую, с другого региона. Все персональные данные того, кому хотел перевести бабло высыветились как я описал выше до оплаты )) Как думаешь, может в техподдержку сбрф накалякать про баг?
Толку с этого не много, разве что базу собрать да и все... Дальше с этой базой вряд ли что сделаешь... Проси у банка 1 кк за слив бага)))
А, я просто не так понял, думал ты смотришь данные номера своей карты, а не того, кому переводишь. Написать ты можешь, но я думаю они скорее всего проигнорируют будто ничего и не произошло. Вон недавно уязвимость в банкоматах нашли, так компания и по сей день не шевельнулась ее исправить в машинах которые уже установлены. Насчет эксплуатации. Не на столько она и бесполезна. Если в числе прочих имеется и телефон человека к которому привязана карта, то задействовав немного социальной инженерии, из этого получится что-то выжать.