Комментарии 39
Классно вы скрыли аватарку, оставив фото в ленте)
Планета, как всегда в опасности ;) Прямо палево-палев…
Не Киви единым будут баги.
Костик-полиглот
За аналогичный косяк в РБК-Money их гнобили оченбь жостко. Интересно какая реакция будет сейчас.
В rbk-money только на днях убрали email из результата оплаты, который был скрыт под base64.
А вот перебор еще есть: sko.rbkmoney.ru/opencms/opencms/default/waitingPage.html?invoiceId=1063827369&language=ru&transactionId=17124294
Багом они это не считают. Флаг им в руки.
А вот перебор еще есть: sko.rbkmoney.ru/opencms/opencms/default/waitingPage.html?invoiceId=1063827369&language=ru&transactionId=17124294
Багом они это не считают. Флаг им в руки.
Удалить акк можно только через техподдержку?
Кто там у нас бдит за личными данными, Роскомнадзор?
Кажется, есть способ форсировать латание дырки путем точечного воздействия на проф. орган, только вот вопрос — зачем…
Но факт — программисты не думают… или думают, но руководство не слушает о предупреждениях…
Кажется, есть способ форсировать латание дырки путем точечного воздействия на проф. орган, только вот вопрос — зачем…
Но факт — программисты не думают… или думают, но руководство не слушает о предупреждениях…
Уж полночь близится (с), а баг ещё на месте :)
Скрин с топика vk сгуглился, и что то номер странный: clck.ru/9YYbf
Интересно есть ли такое на Яндекс-Деньги? Как раз было бы интересно узнать немного о некоторых аккаунтах в Яне ))
Немного не в тему электронной коммерции, но у Сбербанка(и не только) вообще камера установлена с видом на клавиатуру ввода. То есть пин-код по их мнению не является персональной информацией.
Аналогичная проблема у очень популярной украинской компании по пополнению мобильных.
Позвонил, а затем написал им в поддержку — посмотрим, как отреагируют.
Позвонил, а затем написал им в поддержку — посмотрим, как отреагируют.
Привет из QIWI!
Спасибо за такое освещение информации о данной проблеме, у нас получилось с ней быстро разобраться.
Fixed! Пожалуйста, подтвердите, что проблема более не воспроизводится.
И да, не могу не напомнить, что мы рады всем багам о которых вы нам сообщаете.
Вместе мы делаем QIWI лучше и безопаснее.
Ждем Ваших репортов на нашу официальную программу поиска уязвимостей: hackerone.com/qiwi
Там же нам можно в комментах задавать любые вопросы и нажать кнопочку “потребовать разглашение данной уязвимости” :)
Спасибо за такое освещение информации о данной проблеме, у нас получилось с ней быстро разобраться.
Fixed! Пожалуйста, подтвердите, что проблема более не воспроизводится.
И да, не могу не напомнить, что мы рады всем багам о которых вы нам сообщаете.
Вместе мы делаем QIWI лучше и безопаснее.
Ждем Ваших репортов на нашу официальную программу поиска уязвимостей: hackerone.com/qiwi
Там же нам можно в комментах задавать любые вопросы и нажать кнопочку “потребовать разглашение данной уязвимости” :)
Оперативненько.
Хотелось бы узнать, с чем связано столь долгое бездействие по этой проблеме?
Хотелось бы узнать, с чем связано столь долгое бездействие по этой проблеме?
(c интересом) Ждём, заплатят ли топикстартеру?
И если (вдруг) да, то сколько?
И если (вдруг) да, то сколько?
К сожалению, по условиям программы за дубликаты нет награды, ТС пролетел уже давно :)
Возможно, команда QIWI огласит сумму вознаграждения первому ресёрчеру.
Возможно, команда QIWI огласит сумму вознаграждения первому ресёрчеру.
Я правильно понял, что этой ошибке полгода?
Этот отчёт, которому на данный момент более полугода, отмечен как дубликат, поэтому, скорее всего, проблема остаётся неисправленной ещё дольше.
Кстати, оперативно не только пофиксили проблему, но и внесли (правильные?) поправки в условия багбаунти программы, которых не было до этого.
Политика раскрытия Qiwi
Отправляя отчет, вы соглашаетесь соблюдать политику раскрытия Qiwi, которая запрещает публичное или частное раскрытие любой найденной уязвимости Qiwi в течение 90 дней после закрытия уязвимости и только по взаимному соглашению сторон.
А закрывать могут долго :(
>почему порой на приватную почту или мобильный сыпется спам
Потому что в договоре может быть прямо так и написано — указывая на терминале почту или телефон, вы даёте согласие на получение рекламы от владельца и третьих лиц. Не у всех так, но я встречал у многих. Читайте оферту терминала.
Потому что в договоре может быть прямо так и написано — указывая на терминале почту или телефон, вы даёте согласие на получение рекламы от владельца и третьих лиц. Не у всех так, но я встречал у многих. Читайте оферту терминала.
Нет, так писать в договоре уже нельзя. Пользователь терминала должен явно выразить согласие на получение рекламы (т.е. должен именно поставить галочку на получение рекламы, если она поставлена по умолчанию, то это нарушение).
Это свежая фотография? ФАС не принимает подобные «согласия» и накладывает штрафы. Был уверен, что большие компании типа КИВИ внесли изменения в ПО своих терминалов и теперь требуется поставить галочку, чтобы получать спам.
Вот нашел цитату —
статья 44.1 126-ФЗ «О связи» определяет требования к осуществлению рассылки — для рассылки SMS-сообщений требуется наличие предварительно полученного согласия абонента, выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение рассылки.
Оказывается, народ у нас только покупает шмотки в Китае и играет в игры-тотализаторы-форексы.
Года 4 назад когда в очередной раз пополнял кошелек через QIWI терминал нужно было вводить свой пароль из нескольких цифер. Мне нужно было срочно пополнить мой телефон, но с терминалов тогда уже убрали эту возможность, на телефоне и так нет возможности, а комп далеко. Я подумал, что можно пополнить если запланировать платеж, эта функция работала. Я запланировал через терминал платеж, который должен быть исполнен через 5 минут. Через 5 минут пришли деньги и я понял, что это отличный момент для мошенников, стоишь около терминала, записываешь номера и пароли, через 2 минуты после ухода человека логинишся и переводишь на левый номер средства.
В этот же день написал в письмо с уязвимостью, на что они ответили, что это не является уязвимостью.
После этого лень сдерживала меня от халявы.
В этот же день написал в письмо с уязвимостью, на что они ответили, что это не является уязвимостью.
После этого лень сдерживала меня от халявы.
Что интересно, для возможности полноценно пользоваться всеми возможностями интернет-кошельков в РФ, например яндекс.мани, по-моему нужно обязательно указывать свои паспортные данные. Не знаю как в киви и рбк-мани, пользуюсь только вебмани и пэйпал, там проще.
Это уже даже не логин с паролем.
Это уже даже не логин с паролем.
Киви просто просит каждый раз ввести паспортные данные. Я каждый раз отказываюсь, а платежи все равно идут. Paypal в то же время написал, что мой аккаунт временно заморожен, пока я не введу свои данные.
Аналогично Paypal «порадовал»:
Хотят паспортные данные. На запрос подробностей в виде номера закона, статьи и пояснения ответа так и не получил.
Кто-нибудь в курсе, что за фигня? Сумма платежей в месяц через него не более 1000р, т.е. явно не похоже на 15к и борьбу с терроризмом…
Ваш счет PayPal ограничен, поскольку мы не получили ранее запрошенную информацию, которую мы обязаны собрать в соответствии с российским законодательством. Это означает, что Вы не можете отправлять, получать или выводить денежные средства.
Хотят паспортные данные. На запрос подробностей в виде номера закона, статьи и пояснения ответа так и не получил.
Кто-нибудь в курсе, что за фигня? Сумма платежей в месяц через него не более 1000р, т.е. явно не похоже на 15к и борьбу с терроризмом…
Костик собственной персоной =)
Я ровно такой же баг несколько лет назад в Webmoney Telepay сдал. Саппорт долго отмораживался «это не баг» и не хотел разработчикам передавать. Когда сам в личку разработчикам скинул, поправили в течение получаса и обещали люлей саппорту отгрузить.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Утечка пользовательских данных в QIWI