![]() |
На днях заметил уязвимость в программном обеспечении сайта Сбербанка России http://sbrf.ru, точнее ее системы Сбербанк-онлайн https://esk.sbrf.ru
Бага заключается в том, что имеется возможность собирать некоторые данные о клиентах Банка. 1. Для использования уязвимости необходимо авторизироваться в системе Сбербанк-онлайн https://esk.sbrf.ru , введя свой идентификатор пользователя и пароль. 2. Далее выбираем функцию - перевод денег на карту, вбиваем номер карты и любую сумму. Жмем кнопку Перевести... 3. Система выдаеет информацию о получателе карты - ФИО полностью, город и номер карты и др. информацию. Далее Система запрашивает одноразовый пароль для подтверждения платежа. Вы отказываетесь от перевода денег. Таким образом , если заюзать некий скрипт перебора диапазона номеров карты с функцией записи ответной информации с сервера, то можно получить неплохую базу данных клиентов банка.... ЗЫ, Скрипта нет, все эксперементировалось вручную. Мини FAQ по номерам пластиковых карт http://kreditka.net/nomer-kreditnoy-karti.html |
а вот это становится интересней!
|
со сбербанком шутки плохи . а вообще интересная фича
|
Фича интересная. При сливе базы останется собирать чеки возле банкоматов с остатками суммы на счете ))
Далее дело за социнженерией )) |
Nil$, а толку? У банкоматов номер карты заменен *** кое-где, поэтому толку 0 от этого.
А так да, находка интересная. |
там на чеках только первые и последние цифры .
1234 **** **** **хх 1234 середина все равно будет одинаковая. хотя все зависит от ПО банкомата ))) |
ccw и кодовое слово никто не отменял
|
Смысла нет , собрать ФИО можно и в ВК
|
на ВК с привязкой к карте и банку? ))
легче уж на трекере руборда БД любого региона качнуть Сам по себе способ не новый, но я не ожидал от СБ РФ такой оплошности |
Цитата:
|
| Время: 19:50 |