Скомпрометированы транзакции плательщиков RBK Money
Эта история началась в августе.
Совершая оплату за хостинг, я воспользовался системой RBK Money. Проведя платеж, я забыл закрыть вкладку браузера с результатом транзакции.
Спустя некоторое время я вновь открыл браузер и обнаружил, что эта страница также отобразилась, не запросив у меня авторизацию.
Стало интересно, т.к. я считал, что эра ошибок такого рода давно прошла.
У каждой транзакции есть invoiceId, который был виден в адресной строке. Прибавив к своему invoiceId единичку я увидел результат транзакции, которая мне не принадлежала. Судя по всему, это была следующая операция по оплате в системе.
Читать дальше →
Совершая оплату за хостинг, я воспользовался системой RBK Money. Проведя платеж, я забыл закрыть вкладку браузера с результатом транзакции.
Спустя некоторое время я вновь открыл браузер и обнаружил, что эта страница также отобразилась, не запросив у меня авторизацию.
Стало интересно, т.к. я считал, что эра ошибок такого рода давно прошла.
У каждой транзакции есть invoiceId, который был виден в адресной строке. Прибавив к своему invoiceId единичку я увидел результат транзакции, которая мне не принадлежала. Судя по всему, это была следующая операция по оплате в системе.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- 74% российских компаний рассматривают привлечение трафика через нейросети
- Опубликованы списки финалистов Workspace Digital Awards-2026
- Шифруем ID сетью Фейстеля: защита API без правок в базе
- mTLS: руководство — от теории к практике с управлением сертификатами и защиты сервисов
- Не кибербез, а цифро-ТБ
- Атакуем LLM — дешево, сердито, ИИ-шно
- Echo Layer: как я пытался встроить приватность в обычную клавиатуру
- Тактильная эпоха — Часть 2: Складной планшет vs раскладной смартфон. И почему вы не понимаете, чего хотите
- Скрываясь на виду: как PhantomCore маскирует свою активность с помощью легитимных инструментов
- Максим Немов: Почему бизнес-гипотезы почти всегда ошибочны — и как на этом зарабатывают те, кто это понял