Компания DeviceLock обнаружила утечку личных данных клиентов-физлиц, которые однажды подали заявку на получение кредитной карты Бинбанка «Эlixir». Об этом сообщила газета «Коммерсантъ».
В анкетах указаны ФИО заявителей, паспортные данные, номера телефонов и адреса проживания. Открытого доступа к этой информации нет, но получить их можно путем подбора буквенно-цифровых сочетаний.
По данным DeviceLock, сейчас извлечено около 1000 анкет, а всего их может быть десятки или сотни тысяч.
Основатель компании Ашот Оганесян предположил, что уязвимость наверняка связана с API-механизмом, через который сайт и мобильные приложения получают доступ к внутренней системе банка для передачи заявок.
Руководитель группы анализа защищенности Solar JSOC «Ростелеком-Solar» Александр Колесов добавил, что страницы заявки на выдачу карты могли сохраняться в кэше. Это требуется для того, чтобы сотрудник банка мог перезвонить клиенту, если тот вдруг передумал и не закончил процесс оформления. Но эти страницы могли храниться с доступом по прямой ссылке, что создает высокую вероятность риска их утечки.
Данная утечка грозит экс-клиентам Бинбанка звонкам и мошенников, которые с помощью приемов социальной инженерии наверняка попытаются выманить данные их карт.
Читайте также: "Открытие" и Бинбанк нарастили убытки
Напомним, что Бинбанк был санирован ЦБ в 2017 году. А в феврале следующего года регулятор принял решение об объединении кредитной организации с «ФК Открытие», который тогда тоже находился на оздоровлении.
С 1 января 2019-го «ФК Открытие» присоединил Бинбанк. Капитал объединенного банка составил порядка 315 млрд рублей.
Отзыв о сайте