Уязвимость в платежной системе Киви позволяет получить личные данные пользователей

reagent

Опытный
Ветеран пробива
Регистрация
4/11/14
Сообщения
1.973
Репутация
5.495
Реакции
7.168
RUB
0
Все счета пользователей сервиса находятся в открытом доступе.

Сегодня на сайте habrahabr о наличии уязвимости в платежной системе Киви. Пользователь под ником ethoz опубликовал подробности эксплуатации бреши, позволяющей получить доступ к платежам всех пользователей сервиса.

Уязвимость состоит в недостаточной рандомизации идентификатора счета, по которому осуществляется доступ. Уязвимая ссылка выглядит таким образом:

,

где параметр order является порядковым номером счета в БД. Удаленный пользователь может путем изменения параметра order просмотреть все счета, существующие в системе. Кроме информации о назначении платежа и суммы, есть возможность получить контактный номер телефона, на который была зарегистрирована учетная запись.

Согласно сообщению автора публикации, он сообщил о наличии бреши еще 6 месяцев назад, однако уязвимость не устранена до сих пор. Диапазон на момент отправки отчёта перевалила за 578417740 записей.
 
Последнее редактирование:
Если вы планируете сделку с его участием, мы настоятельно рекомендуем вам не совершать ее до окончания блокировки. Если пользователь уже обманул вас каким-либо образом, пожалуйста, пишите в арбитраж, чтобы мы могли решить проблему как можно скорее.
20 июля 2015 в 21:50
Привет из Киви!
Спасибо за такое освещение информации о данной проблеме, у нас получилось с ней быстро разобраться.
Fixed! Пожалуйста, подтвердите, что проблема более не воспроизводится.

И да, не могу не напомнить, что мы рады всем багам о которых вы нам сообщаете.
Вместе мы делаем Киви лучше и безопаснее.
Ждем Ваших репортов на нашу официальную программу поиска уязвимостей:
Там же нам можно в комментах задавать любые вопросы и нажать кнопочку “потребовать разглашение данной уязвимости” :)


Быстро они закрыли брешь :pardon:
 
20 июля 2015 в 21:50
Привет из Киви!
Спасибо за такое освещение информации о данной проблеме, у нас получилось с ней быстро разобраться.
Fixed! Пожалуйста, подтвердите, что проблема более не воспроизводится.

И да, не могу не напомнить, что мы рады всем багам о которых вы нам сообщаете.
Вместе мы делаем Киви лучше и безопаснее.
Ждем Ваших репортов на нашу официальную программу поиска уязвимостей:
Там же нам можно в комментах задавать любые вопросы и нажать кнопочку “потребовать разглашение данной уязвимости” :)


Быстро они закрыли брешь :pardon:
Они кстати в отличии от VK реально по 100$ за багу отдают. А VK лишь пишет, что сумма неуказана в итоге видел лично как много народу ничего не получили и самое интересное, баги им сообщали ранее, а фиксят их спустя годы)
 
Спасибо за информацию, а то решил по заголовку уже киви скидывать :)
 
Давным давно известно, что Киви для рассылки номера распространяли - помню, мучился в свое время народ со всякими спамами типа такси и натяжных потолков, бесконечно просто потоком шли смс
 
Сверху Снизу