Уразливість на partner.privatbank.ua

23:54 19.05.2015

У серпні, 17.08.2013, я знайшов Insufficient Anti-automation та інші уразливості на сайті https://partner.privatbank.ua. На відміну від дірок на інших сайтах, ПБ не став оплачувати ці уразливості, бо не побачив ризику в них.

Стосовно ПриватБанка я вже писав про уразливості в LiqPAY для Android та iOS та уразливості на privatbank.ua.

Insufficient Anti-automation:

В скрипті https://partner.privatbank.ua/auth.php не булоє захисту від автоматизованих атак. Що дозволяло спамити смс-ками з OTP на довільні номери.

Дана уразливість та деякі інші не були виправлені в 2013 році. Але вже через рік банк прикрив цей сайт і встановив редирект на Приват24.


Leave a Reply

You must be logged in to post a comment.