Как стать автором
Обновить

Утечка пользовательских данных в QIWI

Время на прочтение 2 мин
Количество просмотров 42K


Вкратце, существует возможность собрать огромное количество данных о платежах по выставленным счетам, произведённых в системе. Эти данные включают в себя назначение платежа, описание, сумму. И самое главное: номер мобильного телефона плательщика, который, в некоторых случаях, по совместительству, является логином в кошельке. В описаниях же обычно доступна и иная информация, которая не должна быть достоянием общественности, как и всё ранее упомянутое.

Выждав, как полагается, достаточное количество времени для возможности исправления, решил представить общественности найденную мной утечку конфиденциальных данных. Исследование проводилось в рамках багбаунти программы. Этот отчёт, которому на данный момент более полугода, отмечен как дубликат, поэтому, скорее всего, проблема остаётся неисправленной ещё дольше.

Проверял всё описанное ниже со своим кошельком, информация, к сожалению, совпадает. Данные доступны любому желающему, для эксплуатации нет никаких зависимостей, осуществляется простым перебором параметра order.

Подтвердим описанное выше на примере. Пройдя по ссылке https://w.qiwi.com/order/external/main.action?order=524928171&phone=12345, получим ответ:



А заглянув в HTML код, найдём телефонный номер пользователя, совершившего данный платеж.



Ещё один пример, с отменённым статусом.



HTML:



А здесь помимо упомянутых данных имеется чей-то email, который, кстати, не гуглится. Этот случай, как нельзя кстати, подходит под ответ на вопрос, почему порой на приватную почту или мобильный сыпется спам.



Идём дальше:



Почта, так же, не светилась. Извлекаем телефонный номер:



И тут же подтверждаем валидность этого номера и почты заодно:



Let's Google it:



Переходим по первой ссылке:



А вот и получатель платежа собственной персоной:



Казалось бы, что тут такого, человек ведёт коммерческую деятельность и не скрывает своих контактных данных. Всё так, если не учитывать момента с почтовым адресом, который Константин нигде не светил и наверняка не хочет. Долго замазывал скрины и не публиковал ссылку для безопасности и спокойствия Костика.

Последний пример лишь один из векторов безобидного использования этих данных, помимо рекламных рассылок которые будут бить точно в цель, используя другую информацию полученную этим методом.

Не знаю точно, попадают ли в эту утечку платежи сделанные через терминалы, но цифры внушительные. Диапазон, на момент отправки отчёта, лежал в приблизительном промежутке от 200000000 до 450000000. На данный момент цифра перевалила за 578417740 записей.

Меня, как ресёрчера, ничуть не удивляет этот «баг». Но как активного пользователя QIWI кошелька, просто вымораживает та скорость фикса, с которой её совершают сотрудники компании.

Надеюсь, с выходом данной публикации специалисты компании начнут работать шустрее, а данные пользователей будут в сохранности.

Всем добра и котиков кивиков.



UPD Исправлено.
Теги:
Хабы:
+59
Комментарии 39
Комментарии Комментарии 39

Публикации

Истории

Работа

Ближайшие события

Московский туристический хакатон
Дата 23 марта – 7 апреля
Место
Москва Онлайн
Геймтон «DatsEdenSpace» от DatsTeam
Дата 5 – 6 апреля
Время 17:00 – 20:00
Место
Онлайн