Бесплатно Экспресс-аудит сайта:

28.10.2014

Данные транзакций RBK Money находятся в открытом доступе

Клиенты платежного сервиса RBK Money могут просматривать данные о платежах других пользователей. Об этом рассказал пользователь сайта «Хабрахабр» Алексей Томилов. Путем несложных манипуляций с параметрами в адресной строке после совершения платежа он получил информацию о не принадлежащих ему транзакциях. Информация по каждому платежу включала электронный адрес плательщика, сумму и получателя денежного перевода, ссылку возврата в магазин, пройдя по которой, можно было получить доступ к более важным страницам.

Переписка Томилова со службой поддержки платежного сервиса привела к тому, что система заменила часть символов звездочками – как оказалось, временно. Спустя месяц электронный адрес вновь стал отображаться полностью.

Томилов в очередной раз обратился в службу поддержки. Его сообщение RBK сопроводила официальным комментарием, в котором отказалась признать нарушение приватности пользовательских данных и заявила, что не несет ответственности за несанкционированные изменения настроек. Запись Томилова, как полагает компания, содержит непрозрачные факты и является примером недобросовестной конкуренции.