В техноблоге habrahabr.ru появилась публикация пользователя fryday (Артем Бачевский), подробно описывающая способ доступа к чужим учетным записям в мобильном платежном сервисе Platius.

Platius является разработкой одноименной компании, принадлежащей российскому Сбербанку. Сервис позволяет оплачивать счета в ресторанах и фастфудах с привязанной платежной карты любого банка, при этом заказ можно сделать через меню заведения, загруженное в Platius, без участия официанта.

Исследуя приложение, Бачевский обнаружил несколько уязвимостей в защите. В частности, сомнение вызвала надежность CAPTCHA, также не действует ограничение на частоту запросов отправки нового пароля пользователю. Но основной проблемой оказалась простота подбора пароля к личному кабинету ввиду его малой длины (четыре десятичные цифры) и отсутствия ограничения числа попыток ввода.

«Доступ в кабинет позволяет получить доступ к различным личным данным и, возможно, к оплате, которая проходит через привязанную в кабинете банковскую карту», — пишет автор. При этом Бачевский отмечает, что он не стал проводить оплату из взломанного личного кабинета, так как «страшно привязывать свои кровные к таким ненадежным вещам».

Fryday оповестил компанию о найденной уязвимости, но две недели спустя проблема исправлена не была. А вот публикация на habrahabr возымела эффект — по сообщениям читателей техноблога, уязвимость была устранена в тот же день. На запрос Threatpost служба поддержки Platius лаконично ответила, что «описанная в статье уязвимость более недоступна; системные администраторы компании Platius исправили ошибку».

Первая версия сервиса Platius была представлена в марте 2015 года, а в тестовом режиме Platius работает с декабря 2014 года. Это дает почву для опасений, что злоумышленники, загодя узнавшие о данной уязвимости, имели возможность для продолжительной ее эксплуатации.

Категории: Главное, Уязвимости