PDA

Просмотр полной версии : Уязвимость Сбербанка


Nil$
07.10.2010, 14:02
На днях заметил уязвимость в программном обеспечении сайта Сбербанка России http://sbrf.ru, точнее ее системы Сбербанк-онлайн https://esk.sbrf.ru

Бага заключается в том, что имеется возможность собирать некоторые данные о клиентах Банка.

1. Для использования уязвимости необходимо авторизироваться в системе Сбербанк-онлайн https://esk.sbrf.ru , введя свой идентификатор пользователя и пароль.

2. Далее выбираем функцию - перевод денег на карту, вбиваем номер карты и любую сумму. Жмем кнопку Перевести...

3. Система выдаеет информацию о получателе карты - ФИО полностью, город и номер карты и др. информацию. Далее Система запрашивает одноразовый пароль для подтверждения платежа. Вы отказываетесь от перевода денег.

Таким образом , если заюзать некий скрипт перебора диапазона номеров карты с функцией записи ответной информации с сервера, то можно получить неплохую базу данных клиентов банка....

ЗЫ, Скрипта нет, все эксперементировалось вручную.

Мини FAQ по номерам пластиковых карт

http://kreditka.net/nomer-kreditnoy-karti.html

aka dexter
07.10.2010, 14:05
а вот это становится интересней!

AGENTWPC74
07.10.2010, 14:07
со сбербанком шутки плохи . а вообще интересная фича

Nil$
07.10.2010, 14:10
Фича интересная. При сливе базы останется собирать чеки возле банкоматов с остатками суммы на счете ))

Далее дело за социнженерией ))

Rebz
07.10.2010, 14:17
Nil$, а толку? У банкоматов номер карты заменен *** кое-где, поэтому толку 0 от этого.

А так да, находка интересная.

Nil$
07.10.2010, 14:24
там на чеках только первые и последние цифры .

1234 **** **** **хх 1234

середина все равно будет одинаковая.

хотя все зависит от ПО банкомата )))

-=lebed=-
07.10.2010, 14:50
ccw и кодовое слово никто не отменял

tracy
07.10.2010, 15:03
Смысла нет , собрать ФИО можно и в ВК

Nil$
07.10.2010, 19:55
на ВК с привязкой к карте и банку? ))

легче уж на трекере руборда БД любого региона качнуть

Сам по себе способ не новый, но я не ожидал от СБ РФ такой оплошности

HIMIKAT
07.10.2010, 23:32
3. Система выдаеет информацию о получателе карты - ФИО полностью, город и номер карты и др. информацию. Далее Система запрашивает одноразовый пароль для подтверждения платежа. Вы отказываетесь от перевода денег.


Я так понимаю, ты это проделывал на своей карте. На сайте присутствует некая привязка аккаунта к карте? Поскольку есть вероятность, что на других картах она не сработает. Надо дополнительно проверить, на своем акке, вбить допустим карту родственника.

Nil$
07.10.2010, 23:59
В том то и дело, что я со своей кары хотел перевести бабки на левую, с другого региона. Все персональные данные того, кому хотел перевести бабло высыветились как я описал выше до оплаты ))

Как думаешь, может в техподдержку сбрф накалякать про баг?

MasSs
08.10.2010, 00:59
Толку с этого не много, разве что базу собрать да и все... Дальше с этой базой вряд ли что сделаешь... Проси у банка 1 кк за слив бага)))

shellz[21h]
08.10.2010, 01:11
кули там просить, уже узнали небось)) античат не приватный форум )))

HIMIKAT
08.10.2010, 02:40
В том то и дело, что я со своей кары хотел перевести бабки на левую, с другого региона. Все персональные данные того, кому хотел перевести бабло высыветились как я описал выше до оплаты ))
Как думаешь, может в техподдержку сбрф накалякать про баг?


А, я просто не так понял, думал ты смотришь данные номера своей карты, а не того, кому переводишь. Написать ты можешь, но я думаю они скорее всего проигнорируют будто ничего и не произошло. Вон недавно уязвимость в банкоматах нашли, так компания и по сей день не шевельнулась ее исправить в машинах которые уже установлены.

Насчет эксплуатации. Не на столько она и бесполезна. Если в числе прочих имеется и телефон человека к которому привязана карта, то задействовав немного социальной инженерии, из этого получится что-то выжать.