На ресурсе для IT-специалистов habrahabr.ru появилась статья клиента Тинькофф-Банка, который смог выявить уязвимость в системе перевода денег с карты на карту.
Пользователь (ник @kromm) сообщает, что суть обнаруженной ошибки заключается в том, что во время совершения операции при помощи сервиса card2card при сумме, недостаточной для перевода, высвечивалось сообщение о превышении остатка на счете. Такое сообщение повторялось каждый раз до ввода CVC-кода и подтверждения операции. По словам клиента, путем подбора можно было определить верхнюю границу суммы, доступной для перевода. Таким образом, любой человек мог узнать баланс счета, зная лишь номер карты.
В пресс-службе Тинькофф Банка подтвердили, что в течение некоторого времени наблюдалась техническая ошибка, и подчеркнули, что никаких рисков для денежных средств клиентов она не несла, поскольку любая операция по карте требует подтверждения одноразовым паролем (технология 3-D Secure). Так, введя номер карточки, пользователи могли методом перебора только узнать, достаточно ли на ней денег для совершения операции, при этом точный баланс карты выяснить было невозможно. В пресс-службе также сообщили, что данная ошибка была устранена.
Стоит отметить, что замечания пользователя заставили Тинькофф Банк принимать ответные меры. Так, в финучреждении объявили, что в ближайшее время будет запущена система материального поощрения клиентов, которые нашли ошибки и сообщили о них в банк (при этом лучшие «охотники за ошибками» смогут стать частью команды Олега Тинькова). На сегодняшний день подобные программы есть у QIWI, Mail.Ru и VK.
