В настройках сайта и платежных терминалов государственного «Ощадбанка» нашли ряд уязвимостей, пишут в статье на «Хабрахабр».
Одна из проблем заключается в том, что без авторизации на сайте можно было получить доступ к файлам конфигурации и логам оплат клиентов, которые заказали карточку Visa. К тому же можно было управлять операционной системой платежного терминала и журналом клиентских транзакций.
Для входа в аккаунт клиента в терминале достаточно было просто ввести его номер телефона. Во многих других банках для авторизации на мобильный приходит код, в «Ощадбанке» этого нет.
Также при использовании функции перевода с карты на карту с номером телефона клиента можно узнать имя абонента и первую букву фамилии.
После сообщения банку об уязвимостях некоторые были исправлены, однако обратной связи со стороны финучреждения авторы не получили.