07.10.2010, 14:02
|
|
Новичок
Регистрация: 14.04.2010
Сообщений: 1
С нами:
8461631
Репутация:
0
|
|
На днях заметил уязвимость в программном обеспечении сайта Сбербанка России http://sbrf.ru, точнее ее системы Сбербанк-онлайн https://esk.sbrf.ru
Бага заключается в том, что имеется возможность собирать некоторые данные о клиентах Банка.
1. Для использования уязвимости необходимо авторизироваться в системе Сбербанк-онлайн https://esk.sbrf.ru , введя свой идентификатор пользователя и пароль.
2. Далее выбираем функцию - перевод денег на карту, вбиваем номер карты и любую сумму. Жмем кнопку Перевести...
3. Система выдаеет информацию о получателе карты - ФИО полностью, город и номер карты и др. информацию. Далее Система запрашивает одноразовый пароль для подтверждения платежа. Вы отказываетесь от перевода денег.
Таким образом , если заюзать некий скрипт перебора диапазона номеров карты с функцией записи ответной информации с сервера, то можно получить неплохую базу данных клиентов банка....
ЗЫ, Скрипта нет, все эксперементировалось вручную.
Мини FAQ по номерам пластиковых карт
http://kreditka.net/nomer-kreditnoy-karti.html
|
|
|
07.10.2010, 14:05
|
|
Постоянный
Регистрация: 23.06.2006
Сообщений: 370
С нами:
10465466
Репутация:
458
|
|
а вот это становится интересней!
|
|
|
|
07.10.2010, 14:07
|
|
Участник форума
Регистрация: 11.11.2009
Сообщений: 122
С нами:
8684140
Репутация:
20
|
|
со сбербанком шутки плохи . а вообще интересная фича
|
|
|
|
07.10.2010, 14:10
|
|
Новичок
Регистрация: 14.04.2010
Сообщений: 1
С нами:
8461631
Репутация:
0
|
|
Фича интересная. При сливе базы останется собирать чеки возле банкоматов с остатками суммы на счете ))
Далее дело за социнженерией ))
|
|
|
|
07.10.2010, 14:17
|
|
Флудер
Регистрация: 08.11.2004
Сообщений: 3,395
С нами:
11317286
Репутация:
3876
|
|
Nil$, а толку? У банкоматов номер карты заменен *** кое-где, поэтому толку 0 от этого.
А так да, находка интересная.
|
|
|
|
07.10.2010, 14:24
|
|
Новичок
Регистрация: 14.04.2010
Сообщений: 1
С нами:
8461631
Репутация:
0
|
|
там на чеках только первые и последние цифры .
1234 **** **** **хх 1234
середина все равно будет одинаковая.
хотя все зависит от ПО банкомата )))
|
|
|
|
07.10.2010, 14:50
|
|
Флудер
Регистрация: 21.06.2006
Сообщений: 3,193
С нами:
10467746
Репутация:
4738
|
|
ccw и кодовое слово никто не отменял
|
|
|
|
07.10.2010, 15:03
|
|
Познающий
Регистрация: 24.03.2009
Сообщений: 54
С нами:
9017758
Репутация:
13
|
|
Смысла нет , собрать ФИО можно и в ВК
|
|
|
|
07.10.2010, 19:55
|
|
Новичок
Регистрация: 14.04.2010
Сообщений: 1
С нами:
8461631
Репутация:
0
|
|
на ВК с привязкой к карте и банку? ))
легче уж на трекере руборда БД любого региона качнуть
Сам по себе способ не новый, но я не ожидал от СБ РФ такой оплошности
|
|
|
|
07.10.2010, 23:32
|
|
Участник форума
Регистрация: 12.01.2007
Сообщений: 117
С нами:
10172152
Репутация:
28
|
|
Сообщение от Nil$
3. Система выдаеет информацию о получателе карты - ФИО полностью, город и номер карты и др. информацию. Далее Система запрашивает одноразовый пароль для подтверждения платежа. Вы отказываетесь от перевода денег.
Я так понимаю, ты это проделывал на своей карте. На сайте присутствует некая привязка аккаунта к карте? Поскольку есть вероятность, что на других картах она не сработает. Надо дополнительно проверить, на своем акке, вбить допустим карту родственника.
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
