Вкратце, существует возможность собрать огромное количество данных о платежах по выставленным счетам, произведённых в системе. Эти данные включают в себя назначение платежа, описание, сумму. И самое главное: номер мобильного телефона плательщика, который, в некоторых случаях, по совместительству, является логином в кошельке. В описаниях же обычно доступна и иная информация, которая не должна быть достоянием общественности, как и всё ранее упомянутое.
Выждав, как полагается, достаточное количество времени для возможности исправления, решил представить общественности найденную мной утечку конфиденциальных данных. Исследование проводилось в рамках багбаунти программы. Этот отчёт, которому на данный момент более полугода, отмечен как дубликат, поэтому, скорее всего, проблема остаётся неисправленной ещё дольше.
Проверял всё описанное ниже со своим кошельком, информация, к сожалению, совпадает. Данные доступны любому желающему, для эксплуатации нет никаких зависимостей, осуществляется простым перебором параметра order.
Подтвердим описанное выше на примере. Пройдя по ссылке https://w.qiwi.com/order/external/main.action?order=524928171&phone=12345, получим ответ:
А заглянув в HTML код, найдём телефонный номер пользователя, совершившего данный платеж.
Ещё один пример, с отменённым статусом.
HTML:
А здесь помимо упомянутых данных имеется чей-то email, который, кстати, не гуглится. Этот случай, как нельзя кстати, подходит под ответ на вопрос, почему порой на приватную почту или мобильный сыпется спам.
Идём дальше:
Почта, так же, не светилась. Извлекаем телефонный номер:
И тут же подтверждаем валидность этого номера и почты заодно:
Let's Google it:
Переходим по первой ссылке:
А вот и получатель платежа собственной персоной:
Казалось бы, что тут такого, человек ведёт коммерческую деятельность и не скрывает своих контактных данных. Всё так, если не учитывать момента с почтовым адресом, который Константин нигде не светил и наверняка не хочет. Долго замазывал скрины и не публиковал ссылку для безопасности и спокойствия Костика.
Последний пример лишь один из векторов безобидного использования этих данных, помимо рекламных рассылок которые будут бить точно в цель, используя другую информацию полученную этим методом.
Не знаю точно, попадают ли в эту утечку платежи сделанные через терминалы, но цифры внушительные. Диапазон, на момент отправки отчёта, лежал в приблизительном промежутке от 200000000 до 450000000. На данный момент цифра перевалила за 578417740 записей.
Меня, как ресёрчера, ничуть не удивляет этот «баг». Но как активного пользователя QIWI кошелька, просто вымораживает та скорость фикса, с которой её совершают сотрудники компании.
Надеюсь, с выходом данной публикации специалисты компании начнут работать шустрее, а данные пользователей будут в сохранности.
Всем добра и
UPD Исправлено.
Комментарии (39)
evilbot
20.07.2015 17:29+1За аналогичный косяк в РБК-Money их гнобили оченбь жостко. Интересно какая реакция будет сейчас.
lobity
21.07.2015 10:45+4В rbk-money только на днях убрали email из результата оплаты, который был скрыт под base64.
А вот перебор еще есть: sko.rbkmoney.ru/opencms/opencms/default/waitingPage.html?invoiceId=1063827369&language=ru&transactionId=17124294
Багом они это не считают. Флаг им в руки.
FFAMax
20.07.2015 18:22+1Кто там у нас бдит за личными данными, Роскомнадзор?
Кажется, есть способ форсировать латание дырки путем точечного воздействия на проф. орган, только вот вопрос — зачем…
Но факт — программисты не думают… или думают, но руководство не слушает о предупреждениях…
komiller
20.07.2015 20:07Интересно есть ли такое на Яндекс-Деньги? Как раз было бы интересно узнать немного о некоторых аккаунтах в Яне ))
cruzo
20.07.2015 20:40+5Немного не в тему электронной коммерции, но у Сбербанка(и не только) вообще камера установлена с видом на клавиатуру ввода. То есть пин-код по их мнению не является персональной информацией.
Gorodnya
20.07.2015 20:40Аналогичная проблема у очень популярной украинской компании по пополнению мобильных.
Позвонил, а затем написал им в поддержку — посмотрим, как отреагируют.
isox
20.07.2015 21:50+5Привет из QIWI!
Спасибо за такое освещение информации о данной проблеме, у нас получилось с ней быстро разобраться.
Fixed! Пожалуйста, подтвердите, что проблема более не воспроизводится.
И да, не могу не напомнить, что мы рады всем багам о которых вы нам сообщаете.
Вместе мы делаем QIWI лучше и безопаснее.
Ждем Ваших репортов на нашу официальную программу поиска уязвимостей: hackerone.com/qiwi
Там же нам можно в комментах задавать любые вопросы и нажать кнопочку “потребовать разглашение данной уязвимости” :)ethoz Автор
20.07.2015 23:27+5Оперативненько.
Хотелось бы узнать, с чем связано столь долгое бездействие по этой проблеме?
caveeagle
21.07.2015 00:42+2(c интересом) Ждём, заплатят ли топикстартеру?
И если (вдруг) да, то сколько?ethoz Автор
21.07.2015 01:52К сожалению, по условиям программы за дубликаты нет награды, ТС пролетел уже давно :)
Возможно, команда QIWI огласит сумму вознаграждения первому ресёрчеру.
shaman3D
21.07.2015 21:06Я правильно понял, что этой ошибке полгода?
ethoz Автор
21.07.2015 21:20+1Этот отчёт, которому на данный момент более полугода, отмечен как дубликат, поэтому, скорее всего, проблема остаётся неисправленной ещё дольше.
Кстати, оперативно не только пофиксили проблему, но и внесли (правильные?) поправки в условия багбаунти программы, которых не было до этого.
Политика раскрытия Qiwi
Отправляя отчет, вы соглашаетесь соблюдать политику раскрытия Qiwi, которая запрещает публичное или частное раскрытие любой найденной уязвимости Qiwi в течение 90 дней после закрытия уязвимости и только по взаимному соглашению сторон.
А закрывать могут долго :(
Milfgard
20.07.2015 22:37+1>почему порой на приватную почту или мобильный сыпется спам
Потому что в договоре может быть прямо так и написано — указывая на терминале почту или телефон, вы даёте согласие на получение рекламы от владельца и третьих лиц. Не у всех так, но я встречал у многих. Читайте оферту терминала.and7ey
21.07.2015 19:57Нет, так писать в договоре уже нельзя. Пользователь терминала должен явно выразить согласие на получение рекламы (т.е. должен именно поставить галочку на получение рекламы, если она поставлена по умолчанию, то это нарушение).
Milfgard
21.07.2015 22:52+2
and7ey
21.07.2015 23:37Это свежая фотография? ФАС не принимает подобные «согласия» и накладывает штрафы. Был уверен, что большие компании типа КИВИ внесли изменения в ПО своих терминалов и теперь требуется поставить галочку, чтобы получать спам.
skobkin
25.07.2015 03:49+1Последний раз, когда платил в автомате, там была галочка о получении рекламы. Правда, возможно, это был не QIWI.
and7ey
22.07.2015 21:05Вот нашел цитату —
статья 44.1 126-ФЗ «О связи» определяет требования к осуществлению рассылки — для рассылки SMS-сообщений требуется наличие предварительно полученного согласия абонента, выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение рассылки.
FreeLSD
21.07.2015 00:39-3Оказывается, народ у нас только покупает шмотки в Китае и играет в игры-тотализаторы-форексы.
Zzzuhell
21.07.2015 09:12+2Да прям! А как же оплата за вторую четверть обучения от некоей Рашидовой? Не все так плохо, в целом. :)
Вот
VokaMut
21.07.2015 09:50-7Года 4 назад когда в очередной раз пополнял кошелек через QIWI терминал нужно было вводить свой пароль из нескольких цифер. Мне нужно было срочно пополнить мой телефон, но с терминалов тогда уже убрали эту возможность, на телефоне и так нет возможности, а комп далеко. Я подумал, что можно пополнить если запланировать платеж, эта функция работала. Я запланировал через терминал платеж, который должен быть исполнен через 5 минут. Через 5 минут пришли деньги и я понял, что это отличный момент для мошенников, стоишь около терминала, записываешь номера и пароли, через 2 минуты после ухода человека логинишся и переводишь на левый номер средства.
В этот же день написал в письмо с уязвимостью, на что они ответили, что это не является уязвимостью.
После этого лень сдерживала меня от халявы.
whunter
21.07.2015 11:48+6Вы еще возле банкоматов стоять не пробовали, вот где соблазн
получить по лицу
saboteur_kiev
21.07.2015 12:24+1Что интересно, для возможности полноценно пользоваться всеми возможностями интернет-кошельков в РФ, например яндекс.мани, по-моему нужно обязательно указывать свои паспортные данные. Не знаю как в киви и рбк-мани, пользуюсь только вебмани и пэйпал, там проще.
Это уже даже не логин с паролем.
Lerk
21.07.2015 13:09+1Киви просто просит каждый раз ввести паспортные данные. Я каждый раз отказываюсь, а платежи все равно идут. Paypal в то же время написал, что мой аккаунт временно заморожен, пока я не введу свои данные.
shr
21.07.2015 23:38Аналогично Paypal «порадовал»:
Ваш счет PayPal ограничен, поскольку мы не получили ранее запрошенную информацию, которую мы обязаны собрать в соответствии с российским законодательством. Это означает, что Вы не можете отправлять, получать или выводить денежные средства.
Хотят паспортные данные. На запрос подробностей в виде номера закона, статьи и пояснения ответа так и не получил.
Кто-нибудь в курсе, что за фигня? Сумма платежей в месяц через него не более 1000р, т.е. явно не похоже на 15к и борьбу с терроризмом…
aml
21.07.2015 21:38Я ровно такой же баг несколько лет назад в Webmoney Telepay сдал. Саппорт долго отмораживался «это не баг» и не хотел разработчикам передавать. Когда сам в личку разработчикам скинул, поправили в течение получаса и обещали люлей саппорту отгрузить.
DSL88
Классно вы скрыли аватарку, оставив фото в ленте)
prairie_dog
Аватарка не скрывалась, это у Костика такая ава с тильдой
DSL88
А, простите… А так похоже)