Открита е уязвимост, която ви позволява да откраднете CVV2-кода на потребителя на "Fidobank"

Беше открита уязвимост в услугата за незабавен превод на средства от карта на карта на украинската банка "Fidobank", с помощта на която нападателите могат да открият CVV2 кода на потребителя чрез Интернет. Този код е много важен - знаейки го, е много по-лесно да проникнете в акаунт и да получите достъп до средства. Уязвимостта е открита от потребителя на „Habr“ под прякора dinikin, който преди това е откривал пропуски и скрити възможности в онлайн услугите на Alfa-Bank. Fidobank казва, че уязвимостта не е критична, но обещава да подобри сигурността на системата в рамките на 24 часа.

Използвайки уязвимост XSS, нападателят, знаейки номера на картата на лице, което наскоро е извършило паричен превод чрез услугата Fidobank TransCard, може да получи CVV2 кода на своята карта. За да си осигури пълен достъп до акаунта, измамникът ще трябва само да избере периода на валидност на картата и това са само два параметъра - месец и година.

Кликването върху тази връзка показва следното съобщение:

Всичко би било наред, ако разработчиците не улеснят още по-лесното използване на уязвимостта, като запазят cvv2 кода в полето за въвеждане дори след извършване на плащането “, пише dinikin.

Fidobank отговори на искането на AIN.UA, че банката вече е анализирала получената информация за уязвимостта. „В резултат на проверката беше установено, че критичните данни на клиентите, по-специално кодът CVV2, не се съхраняват в ресурса, поради което кражбата на информация за CVV2 е невъзможна“, заяви пресслужбата. - Бихме искали да благодарим на клиента, че насочи вниманието ни към този аспект на системата. В рамките на 24 часа, като част от актуализацията, сигурността на онлайн услугата за превод също ще бъде подобрена ”.

Ще припомним, "Фидобанк" е основан от Александър Адарич, позиционирайки финансовата институция като изключително иновативна компания, която предлага най-модерните инструменти за разплащане и сетълмент.