Идентичная проблема подбора ссылки, описанная тут "Утечка пользовательских данных в QIWI" в июле и тут "Тинькофф банк скомпрометировал выписки по счетам клиентов?" в августе, была найдена мной у украинских компаний Portmone.com и «Фидобанк» ещё раньше.
Сразу скажу, что эти проблемы уже закрыты. Однако есть другие. Я напишу и о тех, и о других.

image image



Кто читал вышеуказанные посты, понимают, о чём пойдёт речь ниже. Для других же я скажу коротко: существует (точнее сказать, существовала) возможность получить данные о проведённых операциях клиентов данных компаний.

Начну по порядку (ошибки, на самом деле, полностью идентичны).

У Фидобанка после оплаты услуги в их интернет-банкинге (т.е. нужно быть зарегистированным клиентом и войти в учётную запись) была возможность скачать квитанцию по данной оплате/покупке. Это была длинная ссылка вида https://fidomarket.ua/purchase-history?p_p_id=historyportlet_WAR_fidoportlet&p_p_lifecycle=2&p_p_state=normal&p_p_mode=view&p_p_cacheability=cacheLevelPage&p_p_col_id=column-3&p_p_col_count=1&_historyportlet_WAR_fidoportlet_format=pdf&_historyportlet_WAR_fidoportlet_orderNum=XXXXXXXXXX&_historyportlet_WAR_fidoportlet_prodtype=Deposit (336 символов, между прочим; вытащил её из кода страницы).
И ссылка эта открывалась без авторизации.
Достаточно было изменить параметр «orderNum» и сайт отдавал чужой PDF.

В этих квитанциях нет ничего конфиденциального (повезло), поэтому вот:

image

image

Хотя мне попадались и более интересные варианты (замечу, операции совершались с помощью интернет-банкинга):
image

После моего сообщения ошибку закрыли достаточно быстро. Радует, что у банка есть специальный ящик для сообщений о проблемах с безопасностью. Хотя с некоторыми ответами на отправленные мной ситуации я не согласен. Как пример: при переводе с карты на карту (об этом сайте, кстати, на Хабре была одна статья) для безопасности отправляется код авторизации. Раньше (давно не проверял этого), после совершения первой операции перевода, если в течении десяти минут сделать ещё один перевод, код авторизации не отправлялся заново — использовался текущий. Сотрудники настаивали, что это нормально и достаточно безопасно. А я думаю, банк просто экономил на СМС-ках)

другой пример
Если поискать их депозиты в Google, в выдаче идёт подсайт, который Chrome не хочет отображать:

image

image

Chrome не показывает мне его даже если в адресе попытаться убрать букву «S».

К слову, сейчас Firefox, Opera и IE открывают этот сайт без ошибки, однако у меня сохранились скриншоты, где эта ошибка проявляется в любом из них.

Но сайты банков — это такое. На днях другой украинский банк, Форвард, пропустил срок продления регистрации домена (уже восстановили).



Итак, Portmone. После оплаты услуги на странице этой компании показывается сообщение об успешном завершении операции с возможностью скачать квитанцию в PDF. Ссылка вида portmone.com.ua/r3/uk/services/receipts/get-receipts/shop-bill-id/XXXXXXXXXXXXXXXXXX. Перебирая символы в конце, можно скачать квитанции клиентов сайта (сайт не банил при подборе). Самыми популярными были пополнения мобильного телефона:

image

однако были и другие оплаты:

image

Квитанции были доступны и за предыдущие года (в левой части, посередине: «Сплачено (Оплачено): 04.06.2010»):

image

Эта компания исправила ситуацию тоже достаточно быстро, и теперь вместо безымянного «receipts.pdf» скачивается файл в формате «дата оплаты Оплаченная услуга.pdf» — мелочь, а приятно. Сейчас ссылка имеет тот же формат, однако в конце теперь 129 символов вместо 19: https://www.portmone.com.ua/r3/services/receipts/get-receipts/shop-bill-id/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.

А ещё есть банк, у которого после внедрения 3-D Secure отвалилась проверка CVV
Я просто ввёл в поле «CVV/CVC» три единицы, получил СМС с 3-D Secure кодом и оплата успешно прошла. Пытался провести такую же операцию с картой ПриватБанка — получил сообщение об ошибке «Неправильный CVV или срок действия карты». А по карте неназываемого сейчас банка операция с неправильным CVV прошла, проверял несколько раз.


Кстати, скажу и про переводы с карты на карту.

Некоторые сайты дают возможность не только перевести деньги с карты на карту, но и создать ссылку, в которую будет «зашит» номер указанной Вами карты и сумма (необязательно). Как пишет Portmone.com, "Отправители переводов, кликнув на эту ссылку, смогут перевести деньги со своей карты на Вашу в режиме онлайн". Такая услуга полезна в тех случаях, когда Вам нужно получить перевод, но Вы не хотите разглашать номер своей карты: "Передайте ссылку отправителю, перейдя по ней, уже будет заполнен номер Вашей карты и сумма, если она была указана", если цитировать Приват.

Вот, как это выглядит на сайте EasyPay:
image

Вот так на сайте ПриватБанка:
image

А вот так — на сайте Portmone:
image

Чувствуете разницу? Они не скрывают номер карты. (это тестовая карта, я не боюсь засветить её в интернете. Если хотите перевести мне деньги просто так в целях тестирования, я дам номер другой карты;-)

В общем, закончу я так: ошибки встречаются везде. Главное — их найти.

Комментарии (3)


  1. Eugene713
    18.09.2015 12:24
    -10

    Я один прочитал на главной картинке pornotime.ru?


  1. Dreyk
    19.09.2015 10:52

    подозреваю, что в портмоне эта услуга не для скрытия карты, а для удобства(не диктовать номер, не вбивать его руками). Ну или по крайней мере именно так поняли программисты, внедрявшие эту фичу)


    1. Gorodnya
      19.09.2015 13:02

      Правильно, услуга — чтобы отправить ссылку кому-то, кто должен пополнить Вашу карту. Главное преимущество — возможность не сообщать человеку полный номер своей карты (удобно, если такая операция разовая). Но два других сайта создают ссылку, которая передаётся с усечённым номером карты, а тут — полный. Видимо, программисты всё же поняли немного иначе, вот)