Идентичная проблема подбора ссылки, описанная тут "Утечка пользовательских данных в QIWI" в июле и тут "Тинькофф банк скомпрометировал выписки по счетам клиентов?" в августе, была найдена мной у украинских компаний Portmone.com и «Фидобанк» ещё раньше.
Сразу скажу, что эти проблемы уже закрыты. Однако есть другие. Я напишу и о тех, и о других.
Кто читал вышеуказанные посты, понимают, о чём пойдёт речь ниже. Для других же я скажу коротко: существует (точнее сказать, существовала) возможность получить данные о проведённых операциях клиентов данных компаний.
Начну по порядку (ошибки, на самом деле, полностью идентичны).
У Фидобанка после оплаты услуги в их интернет-банкинге (т.е. нужно быть зарегистированным клиентом и войти в учётную запись) была возможность скачать квитанцию по данной оплате/покупке. Это была длинная ссылка вида https://fidomarket.ua/purchase-history?p_p_id=historyportlet_WAR_fidoportlet&p_p_lifecycle=2&p_p_state=normal&p_p_mode=view&p_p_cacheability=cacheLevelPage&p_p_col_id=column-3&p_p_col_count=1&_historyportlet_WAR_fidoportlet_format=pdf&_historyportlet_WAR_fidoportlet_orderNum=XXXXXXXXXX&_historyportlet_WAR_fidoportlet_prodtype=Deposit (336 символов, между прочим; вытащил её из кода страницы).
И ссылка эта открывалась без авторизации.
Достаточно было изменить параметр «orderNum» и сайт отдавал чужой PDF.
В этих квитанциях нет ничего конфиденциального (повезло), поэтому вот:
Хотя мне попадались и более интересные варианты (замечу, операции совершались с помощью интернет-банкинга):
После моего сообщения ошибку закрыли достаточно быстро. Радует, что у банка есть специальный ящик для сообщений о проблемах с безопасностью. Хотя с некоторыми ответами на отправленные мной ситуации я не согласен. Как пример: при переводе с карты на карту (об этом сайте, кстати, на Хабре была одна статья) для безопасности отправляется код авторизации. Раньше (давно не проверял этого), после совершения первой операции перевода, если в течении десяти минут сделать ещё один перевод, код авторизации не отправлялся заново — использовался текущий. Сотрудники настаивали, что это нормально и достаточно безопасно. А я думаю, банк просто экономил на СМС-ках)
Итак, Portmone. После оплаты услуги на странице этой компании показывается сообщение об успешном завершении операции с возможностью скачать квитанцию в PDF. Ссылка вида portmone.com.ua/r3/uk/services/receipts/get-receipts/shop-bill-id/XXXXXXXXXXXXXXXXXX. Перебирая символы в конце, можно скачать квитанции клиентов сайта (сайт не банил при подборе). Самыми популярными были пополнения мобильного телефона:
однако были и другие оплаты:
Квитанции были доступны и за предыдущие года (в левой части, посередине: «Сплачено (Оплачено): 04.06.2010»):
Эта компания исправила ситуацию тоже достаточно быстро, и теперь вместо безымянного «receipts.pdf» скачивается файл в формате «дата оплаты Оплаченная услуга.pdf» — мелочь, а приятно. Сейчас ссылка имеет тот же формат, однако в конце теперь 129 символов вместо 19: https://www.portmone.com.ua/r3/services/receipts/get-receipts/shop-bill-id/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
Кстати, скажу и про переводы с карты на карту.
Некоторые сайты дают возможность не только перевести деньги с карты на карту, но и создать ссылку, в которую будет «зашит» номер указанной Вами карты и сумма (необязательно). Как пишет Portmone.com, "Отправители переводов, кликнув на эту ссылку, смогут перевести деньги со своей карты на Вашу в режиме онлайн". Такая услуга полезна в тех случаях, когда Вам нужно получить перевод, но Вы не хотите разглашать номер своей карты: "Передайте ссылку отправителю, перейдя по ней, уже будет заполнен номер Вашей карты и сумма, если она была указана", если цитировать Приват.
Вот, как это выглядит на сайте EasyPay:
Вот так на сайте ПриватБанка:
А вот так — на сайте Portmone:
Чувствуете разницу? Они не скрывают номер карты. (это тестовая карта, я не боюсь засветить её в интернете. Если хотите перевести мне деньгипросто так в целях тестирования, я дам номер другой карты;-)
В общем, закончу я так: ошибки встречаются везде. Главное — их найти.
Сразу скажу, что эти проблемы уже закрыты. Однако есть другие. Я напишу и о тех, и о других.
Кто читал вышеуказанные посты, понимают, о чём пойдёт речь ниже. Для других же я скажу коротко: существует (точнее сказать, существовала) возможность получить данные о проведённых операциях клиентов данных компаний.
Начну по порядку (ошибки, на самом деле, полностью идентичны).
У Фидобанка после оплаты услуги в их интернет-банкинге (т.е. нужно быть зарегистированным клиентом и войти в учётную запись) была возможность скачать квитанцию по данной оплате/покупке. Это была длинная ссылка вида https://fidomarket.ua/purchase-history?p_p_id=historyportlet_WAR_fidoportlet&p_p_lifecycle=2&p_p_state=normal&p_p_mode=view&p_p_cacheability=cacheLevelPage&p_p_col_id=column-3&p_p_col_count=1&_historyportlet_WAR_fidoportlet_format=pdf&_historyportlet_WAR_fidoportlet_orderNum=XXXXXXXXXX&_historyportlet_WAR_fidoportlet_prodtype=Deposit (336 символов, между прочим; вытащил её из кода страницы).
И ссылка эта открывалась без авторизации.
Достаточно было изменить параметр «orderNum» и сайт отдавал чужой PDF.
В этих квитанциях нет ничего конфиденциального (повезло), поэтому вот:
Хотя мне попадались и более интересные варианты (замечу, операции совершались с помощью интернет-банкинга):
После моего сообщения ошибку закрыли достаточно быстро. Радует, что у банка есть специальный ящик для сообщений о проблемах с безопасностью. Хотя с некоторыми ответами на отправленные мной ситуации я не согласен. Как пример: при переводе с карты на карту (об этом сайте, кстати, на Хабре была одна статья) для безопасности отправляется код авторизации. Раньше (давно не проверял этого), после совершения первой операции перевода, если в течении десяти минут сделать ещё один перевод, код авторизации не отправлялся заново — использовался текущий. Сотрудники настаивали, что это нормально и достаточно безопасно. А я думаю, банк просто экономил на СМС-ках)
другой пример
Если поискать их депозиты в Google, в выдаче идёт подсайт, который Chrome не хочет отображать:
Chrome не показывает мне его даже если в адресе попытаться убрать букву «S».
К слову, сейчас Firefox, Opera и IE открывают этот сайт без ошибки, однако у меня сохранились скриншоты, где эта ошибка проявляется в любом из них.
Но сайты банков — это такое. На днях другой украинский банк, Форвард, пропустил срок продления регистрации домена (уже восстановили).
Chrome не показывает мне его даже если в адресе попытаться убрать букву «S».
К слову, сейчас Firefox, Opera и IE открывают этот сайт без ошибки, однако у меня сохранились скриншоты, где эта ошибка проявляется в любом из них.
Но сайты банков — это такое. На днях другой украинский банк, Форвард, пропустил срок продления регистрации домена (уже восстановили).
Итак, Portmone. После оплаты услуги на странице этой компании показывается сообщение об успешном завершении операции с возможностью скачать квитанцию в PDF. Ссылка вида portmone.com.ua/r3/uk/services/receipts/get-receipts/shop-bill-id/XXXXXXXXXXXXXXXXXX. Перебирая символы в конце, можно скачать квитанции клиентов сайта (сайт не банил при подборе). Самыми популярными были пополнения мобильного телефона:
однако были и другие оплаты:
Квитанции были доступны и за предыдущие года (в левой части, посередине: «Сплачено (Оплачено): 04.06.2010»):
Эта компания исправила ситуацию тоже достаточно быстро, и теперь вместо безымянного «receipts.pdf» скачивается файл в формате «дата оплаты Оплаченная услуга.pdf» — мелочь, а приятно. Сейчас ссылка имеет тот же формат, однако в конце теперь 129 символов вместо 19: https://www.portmone.com.ua/r3/services/receipts/get-receipts/shop-bill-id/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX.
А ещё есть банк, у которого после внедрения 3-D Secure отвалилась проверка CVV
Я просто ввёл в поле «CVV/CVC» три единицы, получил СМС с 3-D Secure кодом и оплата успешно прошла. Пытался провести такую же операцию с картой ПриватБанка — получил сообщение об ошибке «Неправильный CVV или срок действия карты». А по карте неназываемого сейчас банка операция с неправильным CVV прошла, проверял несколько раз.
Кстати, скажу и про переводы с карты на карту.
Некоторые сайты дают возможность не только перевести деньги с карты на карту, но и создать ссылку, в которую будет «зашит» номер указанной Вами карты и сумма (необязательно). Как пишет Portmone.com, "Отправители переводов, кликнув на эту ссылку, смогут перевести деньги со своей карты на Вашу в режиме онлайн". Такая услуга полезна в тех случаях, когда Вам нужно получить перевод, но Вы не хотите разглашать номер своей карты: "Передайте ссылку отправителю, перейдя по ней, уже будет заполнен номер Вашей карты и сумма, если она была указана", если цитировать Приват.
Вот, как это выглядит на сайте EasyPay:
Вот так на сайте ПриватБанка:
А вот так — на сайте Portmone:
Чувствуете разницу? Они не скрывают номер карты. (это тестовая карта, я не боюсь засветить её в интернете. Если хотите перевести мне деньги
В общем, закончу я так: ошибки встречаются везде. Главное — их найти.
Комментарии (3)
Dreyk
19.09.2015 10:52подозреваю, что в портмоне эта услуга не для скрытия карты, а для удобства(не диктовать номер, не вбивать его руками). Ну или по крайней мере именно так поняли программисты, внедрявшие эту фичу)
Gorodnya
19.09.2015 13:02Правильно, услуга — чтобы отправить ссылку кому-то, кто должен пополнить Вашу карту. Главное преимущество — возможность не сообщать человеку полный номер своей карты (удобно, если такая операция разовая). Но два других сайта создают ссылку, которая передаётся с усечённым номером карты, а тут — полный. Видимо, программисты всё же поняли немного иначе, вот)
Eugene713
Я один прочитал на главной картинке pornotime.ru?