ANTICHAT

ANTICHAT (https://forum.antichat.io/index.php)
-   Песочница (https://forum.antichat.io/forumdisplay.php?f=189)
-   -   Уязвимость Сбербанка (https://forum.antichat.io/showthread.php?t=234096)

Nil$ 07.10.2010 14:02

На днях заметил уязвимость в программном обеспечении сайта Сбербанка России http://sbrf.ru, точнее ее системы Сбербанк-онлайн https://esk.sbrf.ru

Бага заключается в том, что имеется возможность собирать некоторые данные о клиентах Банка.

1. Для использования уязвимости необходимо авторизироваться в системе Сбербанк-онлайн https://esk.sbrf.ru , введя свой идентификатор пользователя и пароль.

2. Далее выбираем функцию - перевод денег на карту, вбиваем номер карты и любую сумму. Жмем кнопку Перевести...

3. Система выдаеет информацию о получателе карты - ФИО полностью, город и номер карты и др. информацию. Далее Система запрашивает одноразовый пароль для подтверждения платежа. Вы отказываетесь от перевода денег.

Таким образом , если заюзать некий скрипт перебора диапазона номеров карты с функцией записи ответной информации с сервера, то можно получить неплохую базу данных клиентов банка....

ЗЫ, Скрипта нет, все эксперементировалось вручную.

Мини FAQ по номерам пластиковых карт

http://kreditka.net/nomer-kreditnoy-karti.html

aka dexter 07.10.2010 14:05

а вот это становится интересней!

AGENTWPC74 07.10.2010 14:07

со сбербанком шутки плохи . а вообще интересная фича

Nil$ 07.10.2010 14:10

Фича интересная. При сливе базы останется собирать чеки возле банкоматов с остатками суммы на счете ))

Далее дело за социнженерией ))

Rebz 07.10.2010 14:17

Nil$, а толку? У банкоматов номер карты заменен *** кое-где, поэтому толку 0 от этого.

А так да, находка интересная.

Nil$ 07.10.2010 14:24

там на чеках только первые и последние цифры .

1234 **** **** **хх 1234

середина все равно будет одинаковая.

хотя все зависит от ПО банкомата )))

-=lebed=- 07.10.2010 14:50

ccw и кодовое слово никто не отменял

tracy 07.10.2010 15:03

Смысла нет , собрать ФИО можно и в ВК

Nil$ 07.10.2010 19:55

на ВК с привязкой к карте и банку? ))

легче уж на трекере руборда БД любого региона качнуть

Сам по себе способ не новый, но я не ожидал от СБ РФ такой оплошности

HIMIKAT 07.10.2010 23:32

Цитата:

Сообщение от Nil$
3. Система выдаеет информацию о получателе карты - ФИО полностью, город и номер карты и др. информацию. Далее Система запрашивает одноразовый пароль для подтверждения платежа. Вы отказываетесь от перевода денег.

Я так понимаю, ты это проделывал на своей карте. На сайте присутствует некая привязка аккаунта к карте? Поскольку есть вероятность, что на других картах она не сработает. Надо дополнительно проверить, на своем акке, вбить допустим карту родственника.


Время: 19:50