Держатель карты Тинькофф Банка обнаружил техническую ошибку в работе сервиса кредитной организации card2card, который позволяет физлицам переводить деньги с карты на карту. По словам пользователя, благодаря уязвимости сервиса он смог получить данные о балансах «пластика» других клиентов банка. Впрочем, в пресс-службе Тинькофф Банка порталу Банки.ру заявили, что эта ошибка уже устранена и не несла никакого риска для средств клиентов, поскольку любая операция по картам требует подтверждения по одноразовому коду 3D-Secure.

«Эта ошибка уже устранена», — подчеркнул представитель кредитной организации.

Как рассказал пользователь, он ввел данные своей карты и сумму перевода, превышающую остаток по карточному счету. Сервис card2card, который не требует авторизации в интернет-банке, выдал сообщение об ошибке и отказе от проведения операции. Но это произошло еще до того, как держатель карты попытался совершить трансакцию, то есть до нажатия кнопки «Перевести».

Затем клиент кредитной организации снова попробовал воспользоваться сервисом, предварительно отредактировав запрос к сайту Тинькофф Банка. Для этого он подготовил специальный «скрипт», после чего подставил в соответствующее поле номер другой карты. Пользователь обнаружил, что при этом card2card не проводит дополнительную проверку и также сообщает, хватает ли на карте средств для осуществления перевода.

Сам держатель карты Тинькофф Банка сообщил, что таким образом можно узнать баланс по карте любого пользователя. Впрочем, эксперты указывают, что таким способом можно лишь проверить, хватит ли денег на карте для проведения трансакции.