Сайт «Хабрахабр» опубликовал материал, в котором пользователь анализирует сервисы «Ощадбанк» на предмет недоработок и проблем в безопасности. Так, он сообщает об уязвимостях «Ощадбанка» в части настроек интернет-сайта и платежных терминалов: на сайте без авторизации были доступны конфигурационные файлы и логи оплат клиентов, заказавших платежную карту Visa, а в платежных терминалах было доступно полное управление операционной системой самого терминала и журнал транзакций, совершенных в нем клиентами. Дальше хуже — зная номер мобильного телефона клиента «Ощадбанка», можно получить доступ к операциям, совершаемым им в платежных терминалах. Если в «ПриватБанке» и терминалах других платежных компаний после ввода номера телефона на него отправляется одноразовый код, то в «Ощадбанке» никакой авторизации нет – вы просто вводите номер телефона и получаете доступ к сохраненным платежам, закрепленным за данным номером телефона клиента. Также ошибки есть и в реализации функции переводов с карты на карту по номеру телефона в интернет-банкинге, благодаря которой можно получить актуальное имя пользователя и первую букву его фамилии. Как сообщил внимательный пользователь, банк не отвечал ему на сообщения об недоработках системы, но все-же некоторые уязвимости были исправлены банком без предоставления обратной связи.

Print Friendly, PDF & Email