На днях заметил уязвимость в программном обеспечении сайта Сбербанка России http://sbrf.ru, точнее ее системы Сбербанк-онлайн https://esk.sbrf.ru

Бага заключается в том, что имеется возможность собирать некоторые данные о клиентах Банка.

1. Для использования уязвимости необходимо авторизироваться в системе Сбербанк-онлайн https://esk.sbrf.ru , введя свой идентификатор пользователя и пароль.

2. Далее выбираем функцию - перевод денег на карту, вбиваем номер карты и любую сумму. Жмем кнопку Перевести...

3. Система выдаеет информацию о получателе карты - ФИО полностью, город и номер карты и др. информацию. Далее Система запрашивает одноразовый пароль для подтверждения платежа. Вы отказываетесь от перевода денег.

Таким образом , если заюзать некий скрипт перебора диапазона номеров карты с функцией записи ответной информации с сервера, то можно получить неплохую базу данных клиентов банка....

ЗЫ, Скрипта нет, все эксперементировалось вручную.

Мини FAQ по номерам пластиковых карт

http://kreditka.net/nomer-kreditnoy-karti.html