В платежных картах российских банков с технологией бесконтактной оплаты MasterCard PayPass и Visa payWave обнаружилась уязвимость, которая позволяет просматривать список совершенных транзакций. Как пишет TJournal, уязвимость была обнаружена менеджером проектов Яндекса Антоном Волнухиным.
Волнухин сообщил, что с помощью Android-приложения EMV NFC pay card reader, использующего технологию NFC, ему удалось прочитать данные с карт PayPass (Mastercard) и payWave (Visa) о совершённых транзакциях без какой-либо авторизации. При этом в информации об операциях говорилось только о номере карты, дате и сумме совершённого платежа, но не о его назначении.
Как отметил Волнухин, уязвимость была обнаружена только на тех картах, которые были выпущены российскими банками. Американские и европейские кредитки уязвимость не затронула. Поэтому сотрудник Яндекса предположил, что проблема кроется в настройках безопасности отечественных банков.
Информацию о наличии уязвимости также подтвердили пользователи сервиса микроблогов Friendfeed. Они также выяснили, что с помощью приложения можно получить информацию не только о бесконтактных, но и о обычных транзакциях, совершенных без использования NFC. В список уязвимых попали карты Райффайзенбанка, Альфа-Банка, Тинькофф Кредитные Системы, Ситибанка и Яндекс.Денег. Для зарубежных карт информация в приложении не отображалась.
Издание отмечает, что уязвимость не позволяет узнать, какие именно покупки совершал владелец карты, однако возможность доступа к информации о транзакциях является серьезным нарушением частной жизни.
