...

пятница, 18 сентября 2015 г.

Перебор ссылок — получение данных о клиентах Portmone и Фидобанка

Идентичная проблема подбора ссылки, описанная тут "Утечка пользовательских данных в QIWI" в июле и тут "Тинькофф банк скомпрометировал выписки по счетам клиентов?" в августе, была найдена мной у украинских компаний Portmone.com и «Фидобанк» ещё раньше.
Сразу скажу, что эти проблемы уже закрыты. Однако есть другие. Я напишу и о тех, и о других.

imageimage

Кто читал вышеуказанные посты, понимают, о чём пойдёт речь ниже. Для других же я скажу коротко: существует (точнее сказать, существовала) возможность получить данные о проведённых операциях клиентов данных компаний.

Начну по порядку (ошибки, на самом деле, полностью идентичны).

У Фидобанка после оплаты услуги в их интернет-банкинге (т.е. нужно быть зарегистированным клиентом и войти в учётную запись) была возможность скачать квитанцию по данной оплате/покупке. Это была длинная ссылка вида http://ift.tt/1FQs7nV (336 символов, между прочим; вытащил её из кода страницы).
И ссылка эта открывалась без авторизации.
Достаточно было изменить параметр «orderNum» и сайт отдавал чужой PDF.

В этих квитанциях нет ничего конфиденциального (повезло), поэтому вот:

image

image

Хотя мне попадались и более интересные варианты (замечу, операции совершались с помощью интернет-банкинга):
image

После моего сообщения ошибку закрыли достаточно быстро. Радует, что у банка есть специальный ящик для сообщений о проблемах с безопасностью. Хотя с некоторыми ответами на отправленные мной ситуации я не согласен. Как пример: при переводе с карты на карту (об этом сайте, кстати, на Хабре была одна статья) для безопасности отправляется код авторизации. Раньше (давно не проверял этого), после совершения первой операции перевода, если в течении десяти минут сделать ещё один перевод, код авторизации не отправлялся заново — использовался текущий. Сотрудники настаивали, что это нормально и достаточно безопасно. А я думаю, банк просто экономил на СМС-ках)

другой пример
Если поискать их депозиты в Google, в выдаче идёт подсайт, который Chrome не хочет отображать:

image

image

Chrome не показывает мне его даже если в адресе попытаться убрать букву «S».

К слову, сейчас Firefox, Opera и IE открывают этот сайт без ошибки, однако у меня сохранились скриншоты, где эта ошибка проявляется в любом из них.

Но сайты банков — это такое. На днях другой украинский банк, Форвард, пропустил срок продления регистрации домена (уже восстановили).

Итак, Portmone. После оплаты услуги на странице этой компании показывается сообщение об успешном завершении операции с возможностью скачать квитанцию в PDF. Ссылка вида http://ift.tt/1OAmQIp. Перебирая символы в конце, можно скачать квитанции клиентов сайта (сайт не банил при подборе). Самыми популярными были пополнения мобильного телефона:

image

однако были и другие оплаты:

image

Квитанции были доступны и за предыдущие года (в левой части, посередине: «Сплачено (Оплачено): 04.06.2010»):

image

Эта компания исправила ситуацию тоже достаточно быстро, и теперь вместо безымянного «receipts.pdf» скачивается файл в формате «дата оплаты Оплаченная услуга.pdf» — мелочь, а приятно. Сейчас ссылка имеет тот же формат, однако в конце теперь 129 символов вместо 19: http://ift.tt/1OAmOjE.

А ещё есть банк, у которого после внедрения 3-D Secure отвалилась проверка CVV

Я просто ввёл в поле «CVV/CVC» три единицы, получил СМС с 3-D Secure кодом и оплата успешно прошла. Пытался провести такую же операцию с картой ПриватБанка — получил сообщение об ошибке «Неправильный CVV или срок действия карты». А по карте неназываемого сейчас банка операция с неправильным CVV прошла, проверял несколько раз.

Кстати, скажу и про переводы с карты на карту.

Некоторые сайты дают возможность не только перевести деньги с карты на карту, но и создать ссылку, в которую будет «зашит» номер указанной Вами карты и сумма (необязательно). Как пишет Portmone.com, "Отправители переводов, кликнув на эту ссылку, смогут перевести деньги со своей карты на Вашу в режиме онлайн". Такая услуга полезна в тех случаях, когда Вам нужно получить перевод, но Вы не хотите разглашать номер своей карты: "Передайте ссылку отправителю, перейдя по ней, уже будет заполнен номер Вашей карты и сумма, если она была указана", если цитировать Приват.

Вот, как это выглядит на сайте EasyPay:
image

Вот так на сайте ПриватБанка:
image

А вот так — на сайте Portmone:
image

Чувствуете разницу? Они не скрывают номер карты. (это тестовая карта, я не боюсь засветить её в интернете. Если хотите перевести мне деньги просто так в целях тестирования, я дам номер другой карты;-)

В общем, закончу я так: ошибки встречаются везде. Главное — их найти.

This entry passed through the Full-Text RSS service - if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.

Комментариев нет:

Отправить комментарий