Витоки інформації на різних сайтах
22:31 28.12.202412.10.2013
У вересні, 24.09.2013, під час аудиту безпеки я знайшов Information Leakage уразливості на одному сайті ПриватБанка, що призводять до витоку персональних даних клієнтів. А у жовтні знайшов аналогічні витоки інформації на інших сайтах українських компаній, що надають подібні послуги. При тому, що на деяких подібних сайтах, якими я найбільше користуюся, витоків немає - тобто це залежить від їх відношення до персональних даних.
Перелік конкретних сайтів, що дозволяють витоки персональних даних, оприлюдню пізніше. Про дані уразливості я вже повідомив ПриватБанк і найближчим часом сповіщу адміністрацію інших сайтів.
Детальна інформація про уразливості з’явиться пізніше.
28.12.2024
Пройшло понад десять років і оприлюдню деякі деталі. ПБ закрив цей сайт і як завжди не заплатив мені за виявлені уразливості, про які повідомив їм у вересні 2013. Вони заявили, що то компанії мають не допускати витоків, і не виправили. За кілька років сайт тихо закрили зі всіма цими уразливостями.
Information Leakage (WASC-13):
Витоки відбувалися на сайті https://secure.privatbank.ua - в трьох постачальників послуг, IAA були у всіх. Послуги яких оплачувалися на цьому сайті. Деталі по всім уразливостям на цьому сайті напишу, коли дійде час до них. А це не одна сотня Information Leakage, Cross-Site Scripting та Insufficient Anti-automation уразливостей. За жодну з них мені не заплатили. Таким чином банк кинув мене, як це було з дірками на idea.privatbank.ua та інших сайтах ПБ.
Неділя, 09:17 13.10.2013
А про які саме персональні дані йде мова?
Неділя, 15:34 13.10.2013
Це такі дані як ПІБ та деякі інші персональні дані користувачів. Цих даних вистачить для проведення фішинг атак. Не кажучи про те, що сайти, які допускають витоки такої інформації, порушують закон про захист персональних даних.
Деталей про конкретні дані я не повідомляю, щоб ніхто не здогадався про які сайти ПБ та інших компаній йдеться. Після того, як компанії виправлять дані уразливості, я оприлюдню деталі.