Comments 20
«назовите мне номер отделения, где Ваша карта была выдана – это три цифры с обратной стороны карты, а также...»
А что, так можно?
К сожалению, да. Это нам на IT-ресурсе такой вопрос покажется смешным и мошенническим, но многие могут не заметить подвоха. Знаю не понаслышке о таких скриптах разговоров, эта фраза запомнилась мне больше всего.
А банки вообще часто звонят клиентам по поводу карточных операций? Мой мне ни разу не звонил (хотя иногда блокирует операции сам). Более того, я подозреваю, что обслуживание карты отдано на аутсорс и те, кто в принципе могут мне звонить просто не знают мой номер телефона.
Звонят и задают практически те же самые вопросы, кроме последнего. Сам работал в мониторинге нескольких банков)
P. S.: обслуживание карт на аутсорсе малореально — безопасность, конфиденциальность, финансовые операции, все дела.

Мама моего друга — пенсионерка за 70. Как-то ей позвонили "из банка" и поинтересовались номером карты, сроком действия и CVV кодом. Тоже убедительно так видно рассказывали про банковскую безопасность итд. Пожилая женщина всё им и рассказала. Хорошо, что мама догадалась рассказать обо всём сыну. Карточку бвстренько заблокировали, а мошенники остались с носом лишь потому, что на карте не было денег, а карта дебетная.

оффтоп. есть такой развод по телефону, звонок родителям и далее, либо плачущим голосом сына рассказывают "… что попали в аварию и нужны срочно все деньги" или убедительным голосом представляются «майор такой то, мы задержали вашего сына при перевозке им наркотиков»… вот у товарища был как раз второй случай:
"… Я оказывается наркоту вез. Матушка не растерялась, спросила сколько было дури. Когда «майор» ей ответил — 250гр., в ответ удивилась — Как, там же килограмм должен был быть! Разговор прервали и больше не перезванивали"

Мораль: надо вести разьяснительные беседы даже с очень пожилыми родителями :)

Ну то есть — "уязвимость" в том, что у человека выведывают срок действия карты и cvv-код, который никому нельзя сообщать даже сотруднику банка. Инновационно. Никогда такого не было, и вот опять.

Нет, это лишь один из более 10 пунктов того, что можно было получать по клиентам.
[{"messageId":"3110600776643113261","messageBody":"Karta 5123-1235 operaciya -2861.83UAH 25.08.18 15:32 SHOP EPITSENTR, UA Dostupno: 28069.91UAH"}

Мда… доступ к балансу, одно это уже просто прекрасно
Я никаким образом не являюсь знатаком в области защиты данных, но как я понял, вам, в первую очередь, нужно получить, как и везде, секьюрити токен, и только после этого вы сможете получить данные, которые имеют небольшую ценность, но могут быть использованы для выуживания нужной информации с абонента.

Эти данные вы получили через специальный прокси-сервис на вашем же устройстве, тут всё понятно.

Что не понятно — так это в чём именно заключается уязвимость? Разве всё тело запроса не отправляется в зашифрованом виде? Разве токен не меняется постоянно? Могут ли его перехватить, скажем, на каком-то Wi-Fi к которому я подключусь? Вроде ж используется HTTPS, а значит и все отправляемые данные шифруются через SSL/TLS?

Получили доступ к данным через запросы имея все средства для анализа на руках, круто, но ведь это в контролируемой среде, а с другим устрйоством так прокатит?
Не совсем так. Я воспроизводил свои же операции (со своими же токенами), подставляя в некоторых запросах не свои данные. И бэк сервиса отдавал мне эти данные — данные других клиентов.

Да, там HTTPS, но он расшифровывается. В приложении нет SSL-pinning, но его тоже можно было бы обойти. Что же касается токена — он меняется, но я воспроизводил со своим токеном — мне не нужен был чужой.

А, вот оно как. Тогда понятно :))
Действительно, получать чужие данные по своему токену выходит за рамки нормальной работы :3
За такое увольнять надо.


Тогда возникает ещё один вопрос — можно ли как-то защитить токен/запрос?

После моего отчёта защитили)
Должна быть проверка на наличие прав у того, кто запрашивает, к тому, что он запрашивает.
Нет, это как раз понятно.
Я спрашивал про защиту самого токена и другой информации что передаётся на сервер.
Все ли существующие методы защиты обходятся или есть хотя бы один надежный?
Отвечая частично на первый комментарий, «я не являюсь знатоком в области защиты данных»:)
Понял, ну и на том спасибо, для меня статья была очень интернесной и получить пару ответов от автора на свои вопросы был рад. Хорошего дня!
Only those users with full accounts are able to leave comments. Log in, please.