26 сентября 2014 г.
В платежных картах российских банков с технологией бесконтактной оплаты MasterCard PayPass и Visa payWave обнаружилась уязвимость, которая позволяет просматривать список совершенных транзакций. Как пишет TJournal, одним из первых о существовании уязвимости сообщил в своем твиттере пользователь по имени Антон Волнухин.
Волнухин сообщил, что с помощью Android-приложения EMV NFC pay card reader, использующего технологию NFC, ему удалось прочитать данные с карт PayPass (Mastercard) и payWave (Visa) о совершённых транзакциях без какой-либо авторизации. При этом в информации об операциях говорилось только о номере карты, дате и сумме совершённого платежа, но не о его назначении.
Как отметил Волнухин, уязвимость была обнаружена только на тех картах, которые были выпущены российскими банками. Американские и европейские кредитки уязвимость не затронула. Поэтому он предположил, что проблема кроется в настройках безопасности отечественных банков.
Информацию о наличии уязвимости также подтвердили пользователи сервиса микроблогов Friendfeed. Они также выяснили, что с помощью приложения можно получить информацию не только о бесконтактных, но и о обычных транзакциях, совершенных без использования NFC. В список уязвимых попали карты "Райффайзенбанка", "Альфа-Банка", "Тинькофф Кредитные Системы", "Ситибанка" и "Яндекс.Денег". Для зарубежных карт информация в приложении не отображалась.
Издание отмечает, что уязвимость не позволяет узнать, какие именно покупки совершал владелец карты, однако возможность доступа к информации о транзакциях является серьезным нарушением частной жизни.