При осуществлении денежного перевода с помощью сервиса card2card «Тинькофф Банка» пользователь сайта habrahabr.ru, известный как @kromm, выявил уязвимость, используя которую можно посмотреть баланс карты.
Когда пользователь заполнял соответствующую форму, он заметил, что сервис внезапно проинформировал владельца счета о нехватке средств еще до отправки формы. Иными словами, получение данных о балансе возможно без какой-либо проверки: необходимо просто ввести номер.
По мнению @kromm, простой перебор сумм позволит любому желающему выяснить, сколько денег в настоящее момент имеется на счету владельца карты.
Отслеживая изменения баланса, киберпреступники могут в реальном времени просматривать, каким образом перемещаются средства на чужих счетах. Как утверждает @kromm, он рассказал об уязвимости специалистам «Тинькофф Банка», которые уже исправили проблему.