Come verificare se il whitelist di addebito diretto è attivo per un numero di conto specifico?

0

Il pagamento tramite bonifico bancario su altro conto senza addebito diretto è sempre più comune in questi giorni.
Alcuni di loro sono servizi online che eseguono bug bounties con disponibilità di pagamento tramite bonifico bancario per l'Eurozona.

SEPA ha un sistema dal 2014 in cui si può prendere qualsiasi somma di denaro da un IBAN (in tal caso , il codice IBAN / BIC funziona come un numero di carta di credito).

Problema:

C'è una protezione contro ciò che richiede alla banca di consentire solo l'addebito diretto da una serie specifica di IBAN da una lista bianca scelta. Ma questa protezione è opt-in: per impostazione predefinita, chiunque può prendere qualsiasi importo disponibile solo conoscendo i numeri di conto.
E nel 2018 ci sono ancora pochi impiegati della banca che conoscono il sistema (quindi quando apri un account A / P, è probabile che il dipendente o il sito web non ti dica nulla sul problema).

Ad esempio , se DE97120700883003416600 non è protetto utilizzando la whitelist del numero di account, allora qualsiasi IBAN / BIC può effettuare addebiti da DE97120700883003416600 . Perché DE97120700883003416600 si comporta come un numero di carta di debito.
Ecco perché se la whitelisting non è implementata c'è un buco di sicurezza.
Per la whitelist implementata per DE97120700883003416600 , verrebbe inviata alla banca tedesca (la banca responsabile di DE97120700883003416600 ) per consentire solo un set specifico di altri numeri di account per effettuare addebiti diretti.

Come testare?

In pratica, quasi tutti i servizi che prevedono l'addebito diretto dagli account IBAN richiedono la prova della proprietà dell'account. Ma questo non è obbligatorio: ad esempio, il mio ISP consente addebiti diretti da conti bancari che non possiedo (l'ho provato).
Anche se non posso usare il mio ISP per verificare se un numero di conto bancario è protetto: la maggior parte delle volte, le compagnie che offrono bug bounties aprono i loro conti bancari a Francostrong, e il mio ISP sta richiedendo illegalmente che IBAN debba iniziare con FR , richiedendo così un Conto bancario francese per il pagamento.

Quindi, come verificare se la whitelist di addebito diretto è implementata per un numero di conto specifico?
Il piano è di provare a prelevare una piccola somma di denaro e rendere una segnalazione di bug idonea alla taglia se l'addebito diretto ha esito positivo (a condizione che l'account appartenga a un'azienda con un programma di bug bug).

    
posta user2284570 09.07.2018 - 13:35
fonte

0 risposte

Leggi altre domande sui tag