すべての情報は情報提供のみを目的として提供されています。 この記事の資料によって引き起こされる可能性のある損害について、私は責任を負いません。
1.電話番号によるクライアントの名前*の取得
Oschadbankは、インターネットバンキング「Oschad 24/7」に新しい機能を追加しました。電話番号によるカードからカードへの振替:振込には、受取人のカード番号を知る必要はありません。
前に、この機能を別のウクライナの銀行に実装する際の問題、 アルファバンクウクライナの脆弱性:電話番号でクライアントの名前を取得することについて検討しました。
ここでは脆弱性は少なくなります-実際には、フルネームだけでなく姓の名と最初の文字だけを取得することは可能ですが、匿名の電話番号の後ろに隠れている人の本当の名前を見つけることができるという事実をキャンセルすることはありません(ウクライナのSIMカードは拘束力なしに発行されますパスポートへ)。
すなわち たとえば、あなたに電話をかけた人の名前に興味があり、ソーシャルネットワークでの検索で結果が得られない場合、またはその有効性を疑う場合(ソーシャルネットワークでは架空の名前が示されることが多い)、Oschadbankを使用して彼の本当の名前を見つけることができます。
ソーシャルネットワークでどのような検索を行いますか? すでに何度も説明されていますが、「機能」を思い出させるのは場違いではないと思います。人の名前を知る必要がある場合は、ソーシャルネットワークで資格情報を「復元」することができます。
たとえば、「アカウントを忘れましたか?」をクリックして、Facebookで目的の電話番号を入力します。この電話に登録されている人は、次のデータを利用できます。
-偽装メールアドレス。
-リンクwww.facebook.com/profile/pic.php?cuid=XYZ&square_px=50の形式のユーザーアバター。square_pxパラメーターを大きくすると、より高い解像度で開くことができます。
-ユーザーが登録した名前と姓。
そのため、ソーシャルネットワークの1つに付けられた名前が本物であることを疑う場合、Oschadbankは約550万枚のアクティブな銀行カード(これはウクライナのアクティブカードの数で2番目の銀行です)で救助に行きます。
Oschad 24/7では、支払いと送金、カード間の送金、電話番号別を選択します。
クライアントがシステム、名、姓の最初の文字、およびマスクされたカード番号を見つけた場合:
または、 https://online.oschadbank.ua/wb/api/v2/catalogs/CONTRACT_BY_PHONE?filterCode = BY_PHONE&PHONE_NUMBER = 380987654321で GETリクエストを使用できます。
応答として、次のものを取得します。
[ {
"id" : "+380987654321",
"name" : "+380987654321",
"CONTRACT_ID" : "42577459",
"CLIENT_NAME" : " . ",
"PAN" : "5167********3489"
} ]
はい。Oschadbankは、存在しない電話番号を検索しようとすると、しばらくの間転送の可能性をブロックします。
ただし、Oschadbankの2番目の脆弱性を考えると、これはそれほど問題ではありません。
2. Visaプリペイドカードを使用して、24時間年中無休で新しいアカウントを取得する
プリペイドカード(ドキュメントを提供せずに発行)は、任意の電話番号で有効になります。カードを発行するとき、Oschadbankはクライアントの電話番号とカードを比較しません。
したがって、Oschad 24/7でアカウントを取得するには、そのようなOschadbank支払いカードを購入することはできませんが、 正しいカード番号を試すだけで、コールセンターの自動メニューで有効にしようとします。
IVRメニューでのそのような選択の失敗回数に制限はなく、16桁のカード番号が「無料」である場合(このカードは誰によってもアクティブ化されていません)、銀行は次のようになります。
- すぐにカードを有効にし、
- SMS通知をこの電話番号に接続し、
- 「24/7 Oschad」にカードを自動的に登録します。
これはすべて、手にプラスチックカードがなくても実行できます。
したがって、部門に出ることなくインターネットバンキングに参入することが可能になります。
さて、しかし、顧客にとって安全で便利なように、電話番号による転送を実装する方が良いでしょうか? -前回の記事「 Alfa-Bank Ukraineの脆弱性:クライアント番号を電話番号で取得する 」を繰り返します 。 Alfa-Bankによるサービスの最終的な実装が気に入っています。姓の一部はアスタリスクでマスクされており、名前とミドルネームは最初の文字でのみ示されています。
3. Oschadbankサブファイル上のフォルダーとファイルへのアクセス
Visaカードのもう1つの問題は、ヘッダーにリストされていないことです。
OschadbankがWebサイトでVisa Prepaidの販売を開始したとき、彼らはアクセス設定と表示ディレクトリを気にしませんでした。
たとえば、httpsページの1つで、他の誰かの注文のフォームを検索することができました。クライアントのメール、注文番号、名前はページコードで示されています。
残りのページは、httpsではなくhttp上にあり、許可なしに、カードデータの支払い顧客のフォルダ、ファイル、およびログが利用可能でした。
支払いログ:
このサイトの脆弱性に関する私のメッセージへの回答はありませんでしたが、「送信される」義務が静かに修正され、「ありがとう」とさえ言われませんでした。
4.決済端末での顧客取引へのアクセス
Oschadbankクライアントの携帯電話番号を知っていれば、支払い端末で彼が実行した操作にアクセスできます。
ターミナルメニュー(写真はありません)で個人アカウントを入力するには、携帯電話番号を入力する必要があります。
PrivatBankおよび他の支払い会社の端末に電話番号を入力すると、ワンタイムコードが送信されます。このコードは承認のために入力する必要があります。そうでない場合は、承認が別の方法で行われます。
Oschadbankには承認はありません。電話番号を入力するだけで、このクライアントの電話番号に割り当てられた保存済みの支払いにアクセスできます。
ターミナルについて他に言いたいことがあります。 原則として、端末に関する次の問題は、記事「端末画面で5回タップするとフォルダが開く」で説明した問題と似ています 。
5.支払い端末管理へのフルアクセス
Oschadbankの支払いターミナルの1つで、デスクトップが何らかの形で開かれました。
システムドライブのフォルダーを歩き回って、ほとんどすべてのWindows設定を構成できるだけでなく(これはもちろん問題ですが)、ドライブCの「Customer」というわかりやすい名前のフォルダーにもあります。この端末には次の操作ログがあります。拡張子「jrn」(実際にはプレーンテキスト)。
質の悪い写真 
ファイルは毎日作成され、次のような情報が含まれます:この端末で実行された操作、カードの補充のために行われた金額、モバイルの補充(完全な電話番号を示す)、端末が収集された金額と時期、請求書、など...
ところで、クライアント操作ログファイルは変更および削除できます。 ターミナルの問題について銀行に報告しましたが、それがどのように終わったのかわかりません(前の段落からわかるように、銀行は顧客の要求に対する解決策を知らせる必要はないと考えています)。
バグ報奨金、ありがとう、少なくともフィードバックですか? いいえ、聞いていません。
そのようなこと。