Websecurity - Веб безпека

Ще в березні, 22.03.2010, Андрій Терещенко повідомив розробникам системи LiqPAY та написав в Bugtraq про уразливість в LiqPAY. Дана уразливість стосується sms-повідомлень для авторизації в системі.

Про уразливості в Приват24 (версія для Facebook), оприлюднені Андрєм в жовтні, я вже писав. Зазначу, що дана уразливість в sms-ках LiqPAY ідентична одній з уразливостей в sms-ках Facebook-версії Приват24. І ПриватБанку варто було виправити дану уразливість в Приват24 для Facebook так само, як вони це зробили в LiqPAY.

Тоді ж він отримав відповідь від ПБ, що вони не вважають це уразливістю. Але вже в березні LiqPAY виправив дану уразливість (хоча від всіх фішинг атак це не захистить). Що я добре знаю, тому що активно використовую дану систему (з листопада 2009 року). Це один з тих рідких випадків, коли ПриватБанк виправив уразливості в своїх сервісах чи сайтах.

11.03.2010 LiqPAY змінили текст sms-ки (додавши пораду не давати пароль іншим особам).
27.03.2010 LiqPAY додали в текст sms-ки адресу сайта.

• Insecure SMS authorization scheme at LiqPAY micro-payments of PrivatBank (Ukraine) (деталі)

This entry was posted on 22:47 18.10.2010 and is filed under Уразливості, Новини. You can follow any responses to this entry through the RSS 2.0 feed.