Bitcoin Forum

Уязвимость на сайте ПриватБанка позволяла просматривать историю платежей любого пользователя

5 Сентября, 2015

Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей.

«Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь.

По словам Яремчука, достаточно было добавить в ссылку https://mypayments.privatbank.ua/biplan/getTemplateInfo/?&templateID=170574200&regular=undefined&token=f7a06071f91f613e56de38a0c58206fc TemplateID, при этом исследователь использовал свой токен.

В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется).

http://www.securitylab.ru/news/474561.php

Хорошо, что закрыли.

Давненько я не видел подобных новостей. Главное что бы сбер не лег  ;D  ;)

прикольно что Приват признал этот факт и даже выплатил гонорар. Обычно они скрывают подобные вещи

Информации об нанесенном ущербе не поступало ведь, значит все от этого в выигрыше.

Поэтому и опубликовали
Типо мыжыш следим за безопасностью )

Привату, в части онлайн-банкинга, на Украине равных нет

Не самая страшная пакость, вот если бы можно чужой счёт опустошить - тогда всё пропало.

Уязвимость то пустячная. Наверняка кто то знает/использует другие, но гораздо более прибыльные))))

Не позволяет данная уязвимость просматривать историю платежей пользователя, там в ответе на запрос нет никакой информации о пользователе, только о платеже, не к кому привязать платеж. Максимум позволяет построить статистику по платежам по Привату. Но какому пользователю принадлежит конкретный платеж, не узнать. Так что слишком громкий заголовок у статьи.

Так что слишком громкий заголовок у статьи. - ну так это же работа прессы - раздувать из мухи слона.

Да, удивительно, что эксперта оценили. Приват - ребята разные бывают. Могли бы с СБ пресануть, обозвать "хакером" и списать много десятков своих затрат. Мол, украл, вот доказательства. Неужели и у них что-то поменялось.

Вот это больше похоже на методы Коломойского. Награждать немного не в его стиле.

А сколько дырок в Приватовской защите о которых никто не знает?))))

Они просто ждут своего часа :) в нужный момент всегда можно списать на молодого 10-летнего "кулхацкера", который решил попробовать "утилиту взлома интернета" на сайте привата.

В сбере ребята поумнее работают.
А вобще это детская ошибка программеров когда ID-шнику сессии не сопоставляется IP-шник.

Все может быть. приват несмотря на свои размеры не особенно дружит с защитой, что не раз подмечали бывшие его сотрудники

Да уж перспективка для клиентов. А вобще это ппц когда о любом клиенте можно получить данные по трансакциям.

эпик фейл

Дырки есть, но о них никто не знает?

- Видишь слона?
- нет!
- а он есть  ;D

ух и извращенный же ум у вас батеньтка)

"В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар" - если этот же эксперт разрабатывал защиту, то наверно, гонорар можно расценивать как увольнительные )

ПриватБанк структура очень мощная, но что то последнее время проблема за проблемой. Политика явно стороной не обошла банк.

Думаю, что ставят просто внутри план по внедрениям, вот и внедряется все в попыхах, впереди паровоза. А дальше новое и новое. И никто толком не тестит и не фиксит. Запустили в продакш и побежали дальше.