PROBIV.ONION PROBIV.STORE PROBIV.BLOG Наш Телеграм Светлый дизайн

Уязвимость на сайте ПриватБанка позволяла просматривать историю платежей любого пользователя

  • Автор темы Eva
  • Дата начала
Eva

Eva

Местный
Регистрация
3/4/15
Сообщения
866
Репутация
0
Реакции
1.778
RUB
0
Эксплуатируя брешь, злоумышленник мог осуществлять HPP-атаки.

Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей.

«Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь.

По словам Яремчука, достаточно было добавить в ссылку
Для просмотра ссылки необходимо нажать Вход или Регистрация
TemplateID, при этом исследователь использовал свой токен.

В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется).

2f1505e39b2ea56a5b78ee9685ae71d1.jpg
 
ПриватБанк - это не тот, что принадлежит Коломойскому?
 
Alexey2321 написал(а):
ПриватБанк - это не тот, что принадлежит Коломойскому?
Нажмите для раскрытия...
да, тот самый
[DOUBLEPOST=1441720956][/DOUBLEPOST]
Eva написал(а):
Эксплуатируя брешь, злоумышленник мог осуществлять HPP-атаки.

Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution). По словам эксперта, эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей.

«Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь.

По словам Яремчука, достаточно было добавить в ссылку
Для просмотра ссылки необходимо нажать Вход или Регистрация
TemplateID, при этом исследователь использовал свой токен.

В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар (сумма не уточняется).

2f1505e39b2ea56a5b78ee9685ae71d1.jpg
Нажмите для раскрытия...
зачотная новость. пойду сейчас украинским ребятам нос утру
[DOUBLEPOST=1441721143,1441720729][/DOUBLEPOST]Я им давно говорил чтоб пользовались услугами российских банко..
 
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
Во-во, не банк, а зло! По сравнению с российскими так уж точно
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

vaspvort
Как взломать миллионы модемов: история одного расследования
Ответы
0
Просмотры
373
vaspvort
vaspvort
Собака
Проверяем невероятные заявления разработчиков приложения-мессенджера с шифрованием
Ответы
0
Просмотры
1K
Собака
Собака
DOMINUS_EDEM
Уязвимость в Facebook позволяла скомпрометировать учетные записи пользователей
Ответы
0
Просмотры
1K
DOMINUS_EDEM
DOMINUS_EDEM
DOMINUS_EDEM
Уязвимость в Facebook позволяла скомпрометировать учетные записи пользователей
Ответы
0
Просмотры
1K
DOMINUS_EDEM
DOMINUS_EDEM
Ralhf
Полезные знания Шпионит ли за вами антивирусное ПО?
Ответы
0
Просмотры
2K
Ralhf
Ralhf
Сверху Снизу