У меня был похожий кейс. Только уязвимость совсем тупая и совсем критичная. Выяснилось мной в эксперементальном порядке, что в СберОнлайн для мобильного нет ограничений по заказу одноразовых кодов. Ограничения на ввод по каждому отдельному есть, а на число заказов самих OTP отвалился или забыли добавить. Ситуация очевидная: заказав достаточное количество кодов, рано или поздно попадешь в СБОЛ человека, достаточно знать только номер карты. После репорта через пару дней ответили, что эксплуатация закрыта "дополнительными проверками", намекая на silent block. После того, как я заявил, что никакого silent block нет (опять же отвалился он или не было изначально - не в курсе) через пару дней заметил появление лимита на заказ кодов. Обратился в поддержку площадки BI.ZONE, на первых этапах вместе со мной возмущались что это не круто и обещали разобраться. Пруфы я скинул, все скрины есть, можете забанить на площадке, все равно туда больше ни ногой) С 4-го сентября игнор и от площадки и от вендора
У меня был похожий кейс. Только уязвимость совсем тупая и совсем критичная.
Выяснилось мной в эксперементальном порядке, что в СберОнлайн для мобильного нет ограничений по заказу одноразовых кодов. Ограничения на ввод по каждому отдельному есть, а на число заказов самих OTP отвалился или забыли добавить. Ситуация очевидная: заказав достаточное количество кодов, рано или поздно попадешь в СБОЛ человека, достаточно знать только номер карты. После репорта через пару дней ответили, что эксплуатация закрыта "дополнительными проверками", намекая на silent block. После того, как я заявил, что никакого silent block нет (опять же отвалился он или не было изначально - не в курсе) через пару дней заметил появление лимита на заказ кодов. Обратился в поддержку площадки BI.ZONE, на первых этапах вместе со мной возмущались что это не круто и обещали разобраться. Пруфы я скинул, все скрины есть, можете забанить на площадке, все равно туда больше ни ногой) С 4-го сентября игнор и от площадки и от вендора