Уязвимости в Ощадбанке: получение ФИО клиента по номеру телефона, перебор номеров карт, проблемы в платёжных терминалах

    У меня накопилось несколько найденных проблем в различных сервисах Ощадбанка, одного из крупнейших украинских банков.

    Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи

    уязвимости Ощадбанка

    1. Получение ФИО* клиента по номеру телефона

    Ощадбанк добавил новую функцию в свой интернет-банкинг «Ощад 24/7» — перевод с карты на карту по номеру телефона: чтобы перевести средства, необязательно знать номер карты получателя.

    Ранее я рассмотрел проблемы в реализации данной функции в другом украинском банке — Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона.

    Здесь уязвимость меньше — на самом деле возможно получение не всего ФИО, а только имени и первой буквы фамилии, но это не отменяет того факта, что теперь можно узнать настоящее имя человека, скрывающегося за анонимным номером телефона (в Украине SIM-карты выдаются без привязки к паспорту).

    Т.е. если вас интересует, к примеру, имя звонившего вам человека, а поиск в социальных сетях не даёт результатов, или вы сомневаетесь в их валидности (часто в соцсетях указывают выдуманные ФИО), то с помощью Ощадбанка вы можете попробовать узнать его настоящее имя.

    Что за поиск в социальных сетях? Его уже описывали много раз, но, думаю, не лишним будет напомнить «фичу»: если нужно узнать ФИО человека, можно попытаться «восстановить» учётные данные в социальных сетях.

    Например, можно нажать «Забыли аккаунт?» на Facebook, ввести желаемый номер телефона и, если человек регистрировался с данным телефоном, то доступны будут следующие данные:


    — Маскированный адрес почты;
    — Аватар пользователя в виде ссылки www.facebook.com/profile/pic.php?cuid=XYZ&square_px=50, который можно открыть в бОльшем разрешении, увеличивая параметр square_px;
    — Имя и фамилию, под которыми пользователь зарегистрировался.

    Так вот, если указанные в одной из социальных сетей имя и фамилия вызывают сомнения в их подлинности, на помощь приходит Ощадбанк с его почти 5,5 млн активных банковских карт (это второй банк по количеству активных карт в Украине):

    В Ощад 24/7 выбираем: Платежи и переводы, Переводы между картами, По номеру телефона:


    В случае нахождения системой клиента видим его имя, первую букву фамилии и маскированный номер карты:



    Или можно воспользоваться GET-запросом на https://online.oschadbank.ua/wb/api/v2/catalogs/CONTRACT_BY_PHONE?filterCode=BY_PHONE&PHONE_NUMBER=380987654321

    В ответ получим:

    [ {
    "id" : "+380987654321",
    "name" : "+380987654321",
    "CONTRACT_ID" : "42577459",
    "CLIENT_NAME" : "ИМЯ Ф.",
    "PAN" : "5167********3489"
    } ]


    Да, Ощадбанк блокирует на некоторое время возможность перевода при попытках перебора несуществующих номеров телефонов.

    Однако это не такая проблема, если учесть вторую уязвимость Ощадбанка.

    2. Получение нового аккаунта в «Ощад 24/7» с помощью prepaid-карты Visa

    Visa Eurovision

    Предоплаченная карта (оформляется без предоставления документов) активируется с любым номером телефона: при выдаче карты Ощадбанк никак не сопоставляет номер телефона клиента с картой — клиент самостоятельно привязывает её к любому номеру мобильного.

    Таким образом, чтобы получить аккаунт в Ощад 24/7, можно не покупать такую платёжную карту Ощадбанка, а просто перебором правильного номера карты попытаться активировать её в автоматическом меню колл-центра.

    В меню IVR нет ограничения на количество неудачных попыток такого подбора и, если 16-ти значный номер карты окажется «свободным» (эта карта не была никем активирована), то банк:

    • тут же активирует карту,
    • подключит SMS-информирование на этот номер телефона,
    • и автоматически зарегистрирует карту в «Ощад 24/7».

    Всё это без наличия пластиковой карты у вас на руках.

    Соответственно, и войти в интернет-банкинг можно будет, ни разу не появившись в отделении.

    Хорошо, а как тогда лучше реализовать перевод по номеру телефона, чтобы и безопасно было, и клиентам удобно? — Повторно укажу на предыдущую статью: Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона. Мне нравится финальная реализация сервиса Альфа-Банком: часть фамилии маскирована звёздочками, а имя и отчество указаны только первыми буквами.

    3. Доступ к папкам и файлам на подсайте Ощадбанка

    Ещё одна проблема с картами Visa, она не указана в заголовке.

    Когда Ощадбанк запускал продажу Visa Prepaid на своём сайте, они не позаботились о настройках доступа и отображения каталогов.

    Например, на одной из https-страниц можно было перебором получить форму чужого заказа, где в коде страницы указаны e-mail клиента, номер его заказа и ФИО:



    Остальные страницы были на http, а не на https, и на них, без авторизации, были доступны папки, файлы и логи оплаты клиентами за данные карты:



    Логи оплат:



    Ответа на моё сообщение об уязвимости на этом сайте, кроме дежурного «будет передано», не было, её тихо исправили и не сказали даже «Спасибо».

    4. Доступ к операциям клиентов в платёжных терминалах

    Зная номер мобильного телефона клиента Ощадбанка, можно получить доступ к операциям, совершаемым им в платёжных терминалах.

    В меню терминала (фото не будет) для входа в личный кабинет нужно ввести мобильный номер телефона.

    В ПриватБанке и терминалах других платёжных компаний после ввода номера телефона на него отправляется одноразовый код, который необходимо ввести для авторизации, или авторизация происходит другим способом.

    В Ощадбанке же никакой авторизации нет — вы просто вводите номер телефона и получаете доступ к сохранённым платежам, закреплённым за данным номером телефона клиента.

    Есть у меня ещё что сказать про терминалы. В принципе, следующая проблема с терминалами похожа на ту, которую я описывал в статье «5 нажатий на экран терминала — и открывается любая папка».

    5. Полный доступ к управлению платёжным терминалом

    В одном из платёжных терминалов Ощадбанка мне как-то открылся рабочий стол.

    Мало того, что можно было походить по папкам системного диска и настроить практически любые параметры Windows (хотя это, конечно, та ещё проблема), так ещё и в папке с незамысловатым названием «Customer» на диске C: лежат логи операций в этом терминале с расширением «jrn» (а по факту — plain text).

    Картинки в плохом качестве








    Файлы создаются каждый день и содержат такую информацию: какие операции были проведены в данном терминале, какая сумма была внесена для пополнения карты, какая — для пополнения мобильного (с указанием полного номера телефона), на какую сумму и когда была инкассация терминала, какими купюрами и т.д…

    Кстати, файлы логов клиентских операций можно было изменять и удалять. Про проблему в терминале я в банк сообщил, но чем кончилось — не знаю (как видно из предыдущих пунктов, банк не считает нужным сообщать клиентам о решении их запросов).



    Bug bounty, благодарности, хотя бы просто обратная связь? Не, не слышали.

    Такие дела.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 18
    • +5
      Это государственный банк со своими особенностями. У меня как-то его банкомат карточку товарища съел. Ну как съел, пошел спать в тот момент, когда я вставил карту и хотел снять с неё деньги (товарищ был в другой стране и попросил за него это сделать). Проблема облегчилась тем, что сотрудники банка работали по такой же схеме, и на следующий день отдали мне карту, поверив на слово, что я — это он, и я в другом городе, и забыл паспорт, и остался без денег. За что им спасибо, конечно. Но что это дыра в безопасности, это факт.
      • +1
        Какой банк — такой и банкомат и такие же сотрудники )))
      • 0
        Ну хоть исправили,
        • +1
          Мне в ощадбанке ка то привязали чужую карточку к моему номеру, хотя я никогда не заходил к ним и услугами не пользовался, я имел доступ к счету какой то женщины на счету которой было 2000 грн.
          • 0

            Вот это сильно! Очень жаль, что баланс был маловат )))

            • 0
              Не в суме вопрос, а в том что возможно это были последние деньги у клиента и пострадал бы клиент через ошибку банка. Когда я позвонил им на гарячуюю линию то оператор был в шоке)
          • 0
            Да, это жесть. Это один из самый крупных банков в Украине. И самое главное, что они явно нарушают закон, но им пофиг и ничего не будет. И получается, вместо того, чтобы поблагодарить они в лучшем случаи просто в молча исправлять. А могут еще и нагнать и пригрозить, хотя они нарушили закон, а вы просто про это сообщили.

            Кстати, я вот прочитал наглую статью от habrahabr.ru/company/regionsoft/blog/339284
            Они там не очень хорошо отзывались насчет школьников. В итоге я у них нашел уязвимости, получит доступ к клиентам и тд и вежливо сообщил им. Они сначала молчали и после того как я написал про это в их статье, они на меня нагнали и пригрозили)) Вот такие у нас адекватные на хабре тоже есть) Что то пишут про школьников, а сами клепают говнокод и сливают данные клиентов) Если пишите говнокод, то блин не учите молодежь. Если кто хочет, могу написать про это статью
            • 0
              Раскрытие имени и отчества — проблема не только Ощадбанка, но и российского Сбера. Причём очень досадная. Достаточно через Сбербанк-Онлайн попытаться отправить один рубль, как имя и отчество будут отображены, а фамилия сокращается до первой буквы. То же самое происходит при использовании мобильного банка: волшебная SMS-команда «ПЕРЕВОД %s 1», где %s — номер телефона, сразу же выдаст имя и отчество владельца. Но нет, что вы, это не баг, это фича.
              • +1
                Но нет, что вы, это не баг, это фича.

                Ну да. Это дополнительная возможность проверки правильности данных.

                • +1
                  Насколько я понимаю, деньги можно никуда не переводить, так как имя показывается на страничке подтверждения платежа. Отменить — и имя в кармане и пользователь об этом не узнает.
              • 0
                Кстати, узнать Имя и Фамилию человека можно просто через поиск в Фейсбуке по номеру телефона, не обязательно восстанавливать аккаунт для этого.
                • 0
                  Только там есть настройка запрещающая находить тебя по номеру телефона и по мейлу
                  • 0
                    Запретить полностью нельзя, можно только разрешить Всем, Друзьям или Друзья друзей.
                    • 0
                      Друзья друзей

                      Это практически то же самое, что всем.

                • 0

                  Prepaid-карты ранее (нашел в гугле: с 2002 г.) активно выпускал и ПриватБанк, однако лет 5 назад по-быстрому их выпуск и обслуживание свернули, насколько я помню в связи с запретом Нац. Банка.
                  Сходу не нашел информации ни о запрете, ни о его отмене.
                  Prepaid-карты снова разрешены в Украине?
                  Благодарю за статью.

                  • 0
                    Нацбанк, насколько я знаю, не запрещал. Но положением Нацбанка установлены довольно скромные лимиты по операциям по prepaid-картам, поэтому скорее всего Приватбанк просто потерял к ним интерес.
                    • +1
                      dimiork, такие карты и не запрещались.
                      Верно, ПриватБанк свернул не из-за запрета НБУ, а по личным причинам (невовремя выпущенный продукт — рынок был не готов).
                      Если верить статье от марта прошлого года: Предоплаченные карты: сравнение карт трёх разных украинских банков, то были и другие банки: например, первая карта «Штука» Фидобанком была выпущена в конце 2013-го.
                      А вот на сайте НБУ актуальный список из 19 банков, которые имеют право их выпускать.
                      Ну и вот ещё статистика от того же НБУ по электронным деньгам, которые связаны с такими картами, а лимиты — даже наоборот, были не так давно увеличены.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.