Пользователь ресурса Harbahabr обнаружил уязвимость на странице переводов Фидобанка, позволяющую украсть CVV2-код пользователя. Подробную инструкцию, как это работает, он выложил в сеть.
CVV2-код — это трехзначный код на обратной стороне карты. Он обычно используется при совершении интернет-платежей для проверки подлинности карты. Узнав номер карты и CVV2-код, злоумышленник может через интернет перенаправить средства с нее на любой счет.
По словам пользователя, который обнаружил уязвимость, данные о CVV2-кодах платежных карт хранились на сервера банка даже после совершения операций. «Кстати, если бы этот банк проходил PCI DSS сертификацию, он бы не получил сертификат, так как хранить CVV2 каким-либо образом на сервере строго запрещено платежными системами Visa и MasterCard», — утверждает он.
Кроме того, он отметил, что около двух недель назад написал письмо в службу безопасности банка, но ответа так и не получил. Уязвимость за это время тоже не исчезла.
После того как информация попала в сеть, специалисты Фидобанка начали проверку. Как заверил «Капитал» представитель банка, критичные данные клиента, в частности CVV2-код, не хранятся на ресурсе, следовательно, кража информации о CVV2 невозможна.
«Безопасность наших дистанционных сервисов является для нас наивысшим приоритетом. Мы благодарим клиента, обратившего наше внимание на этот аспект работы системы. В течение 24 часов в рамках обновления будет улучшена в том числе и безопасность сервиса онлайн-переводов», — говорится в сообщении банка.
Напомним, в конце 2013 года один из пользователей обнаружил дыру в безопасности приложения «Приватбанка» для мобильной ОС Android. Уязвимость позволяла сторонней программе получить доступ к личным данным пользователя, авторизованного в системе «Приват 24» и, соответственно, проводить финансовые операции по его карте. Позже сотрудники «Приватбанка» устранили эту ошибку, а хакеру, взломавшему приложение, предложили работу в банке.