Комментарии 20
А что, так можно?
Мама моего друга — пенсионерка за 70. Как-то ей позвонили "из банка" и поинтересовались номером карты, сроком действия и CVV кодом. Тоже убедительно так видно рассказывали про банковскую безопасность итд. Пожилая женщина всё им и рассказала. Хорошо, что мама догадалась рассказать обо всём сыну. Карточку бвстренько заблокировали, а мошенники остались с носом лишь потому, что на карте не было денег, а карта дебетная.
"… Я оказывается наркоту вез. Матушка не растерялась, спросила сколько было дури. Когда «майор» ей ответил — 250гр., в ответ удивилась — Как, там же килограмм должен был быть! Разговор прервали и больше не перезванивали"
Мораль: надо вести разьяснительные беседы даже с очень пожилыми родителями :)
Ну то есть — "уязвимость" в том, что у человека выведывают срок действия карты и cvv-код, который никому нельзя сообщать даже сотруднику банка. Инновационно. Никогда такого не было, и вот опять.
В пуш сообщениях могут быть и коды второго фактора
[{"messageId":"3110600776643113261","messageBody":"Karta 5123-1235 operaciya -2861.83UAH 25.08.18 15:32 SHOP EPITSENTR, UA Dostupno: 28069.91UAH"}
Мда… доступ к балансу, одно это уже просто прекрасно
Эти данные вы получили через специальный прокси-сервис на вашем же устройстве, тут всё понятно.
Что не понятно — так это в чём именно заключается уязвимость? Разве всё тело запроса не отправляется в зашифрованом виде? Разве токен не меняется постоянно? Могут ли его перехватить, скажем, на каком-то Wi-Fi к которому я подключусь? Вроде ж используется HTTPS, а значит и все отправляемые данные шифруются через SSL/TLS?
Получили доступ к данным через запросы имея все средства для анализа на руках, круто, но ведь это в контролируемой среде, а с другим устрйоством так прокатит?
Да, там HTTPS, но он расшифровывается. В приложении нет SSL-pinning, но его тоже можно было бы обойти. Что же касается токена — он меняется, но я воспроизводил со своим токеном — мне не нужен был чужой.
А, вот оно как. Тогда понятно :))
Действительно, получать чужие данные по своему токену выходит за рамки нормальной работы :3
За такое увольнять надо.
Тогда возникает ещё один вопрос — можно ли как-то защитить токен/запрос?
Должна быть проверка на наличие прав у того, кто запрашивает, к тому, что он запрашивает.
Получение информации и обход двухфакторной аутентификации по картам банка из ТОП-10 (Украина)