Как стать автором
Обновить

Маленькие неожиданности Робокассы

Платежные системы
Робокасса выбрала своим девизом «Без перерыва и прочих неожиданностей», неожиданности иногда всё таки случаются, но это проблемы пользователей…

На сайте робокассы кэшируются реквизиты банковских карт, которые введены пользователем при совершении платежа, в результате после совершения единственного платежа можно получить банковские реквизиты или воспользоваться ими для совершения другого платежа.

Процесс оплаты для пользователя состоит из двух основных этапов: выбор способа платежа (нас интересует «Оплата со счета в платежной системе ROBOX (по банковской карте)»), где есть галочка «запоминать введённую информацию», но которая почему-то не выполняет свои функции:
image

На втором этапе предлагается ввести реквизиты банковской карты. В случае первого платежа эти поля пусты, но вот в случае повторного платежа данные легко получить из результатов прошлого заполнения просто щёлкнув по пустому полю:
image

Реквизитами банковской карты можно легко воспользоваться имея доступ к компьютеру или их может утащить программа-вирус. Не хватает только одного параметра: срока действия карты, но т.к. карты обычно выпускают сроком на пару лет, то думаю перебрать пару десятков вариантов не представляется особой проблемой.

Служба поддержки Робокассы была уведомлена о проблеме, но считает что это проблема клиента. Вот их лаконичный ответ:
«Поменяйте уровень безопасности в вашем браузере.»

А решается то проблема очень просто: autocomplete=«off» в html-коде для полей с реквизитами банковской карты.

Жаль, что каждый из сотен тысяч пользователей должен менять настройки безопасности своего браузера, а не программист платёжной системы один раз ради безопасности всех.
Теги:robokassaroboxchangeробокассауязвимостьбанковские картыsecurityбезопасность
Хабы: Платежные системы
Всего голосов 70: ↑59 и ↓11+48
Просмотры7.3K

Похожие публикации

Лучшие публикации за сутки