Уязвимость на сайте ПриватБанка позволяла просматривать историю платежей любого пользователя
Независимый исследователь безопасности Максим Яремчук сообщил об уязвимости на официальном сайте ПриватБанка, позволявшей совершать HPP-атаки (HTTP Parameter Pollution).
По словам эксперта,эксплуатируя брешь на privatbank.ua, можно было просматривать информацию о 170 млн осуществляемых через банк платежей.
«Уязвимость позволяла просматривать историю платежей любого пользователя в поддомене mypayments.privatbank.ua (сумму, статус, условия для осуществления платежа, дату и т.д.)», - сообщил исследователь.
В настоящее время уязвимость исправлена. В рамках программы вознаграждения за найденные уязвимости эксперту выплачен гонорар,сумма которого не уточняется.
|