Клиент Тинькофф-банка нашел способ выявления остатка на счету другого клиента по номеру карты, сообщается на ресурсе для IT-специалистов «Хабрахабр». Банк подтвердил «технологическую ошибку» и объявил о запуске системы вознаграждений для охотников за ними, подчеркнув, что необходимое условие для такого сотрудничества с банком — конфиденциальность.
Суть ошибки заключается в том, что при переводе средств с карты на карту на сайте банка (card2card) при недостаточной для транзакции сумме высвечивалось сообщение, что средств недостаточно, и повторялось оно до ввода CVC (защитный код на платежной карте, который требуется для онлайн-авторизации) и подтверждения операции. Кроме того, клиент банка утверждает, что путем многократного подбора определялась верхняя граница суммы, возможной для перевода, а значит — можно было узнать баланс счета.
В пресс-службе банка подтвердили, что в течение нескольких дней «была техническая ошибка», подчеркнув, что никакого риска для средств клиента банка она не несла. «Введя номер карты, можно было лишь узнать путем перебора, достаточно ли на ней средств для совершения перевода, — узнать точный баланс карты было невозможно»,— сказали РБК в пресс-службе кредитной организации, отметив, что ошибка устранена. Однако замечания клиента вынудили банк к ответным действиям. В кредитной организации объявили, что в течение месяца будет запущена программа материального поощрения клиентов, нашедших ошибки и сообщивших о них непосредственно компании. Подобные программы есть у таких компаний, как Qiwi, VK и Mail.Ru. «Лучшим "охотникам за ошибками" мы предложим работу у нас, так что это еще и потенциальный HR-канал»,— добавили в банке.