要するに、システムで行われた請求書の支払いに関する膨大な量のデータを収集する機会があります。 このデータには、支払いの目的、説明、金額が含まれます。 そして最も重要なのは、支払人の携帯電話番号であり、場合によっては組み合わせて、ウォレットへのログインです。 他の説明は、通常、説明で利用できます。これは、前述のすべてのように、パブリックドメインにはないはずです。
予想通り、修正の可能性を得るのに十分な時間待った後、私は見つけた機密データの漏洩を一般に公開することにしました。 この調査は、バグバウンティプログラムの一環として実施されました。 現在6か月以上経過しているこのレポートは、重複としてマークされているため、問題が修正されないままである可能性が最も高くなります。
ウォレットで以下に説明するすべてをチェックしましたが、残念ながら情報は同じです。 データは誰でも利用でき、操作に依存するものはありません。orderパラメーターの単純な列挙によって実行されます。
上記を例で確認します。 リンクhttps://w.qiwi.com/order/external/main.action?order=524928171&phone=12345に従って、答えが得られます。
HTMLコードを見ると、この支払いを行ったユーザーの電話番号がわかります。
キャンセル状態の別の例 。
HTML:
そして、ここで、言及されたデータに加えて、誰かのメールがあります。これは、ちなみにグーグルではありません。 ちなみに、このケースは、なぜスパムがプライベートメールやモバイルに散らばるのかという質問への答えに適合します。
どうぞ
メールも輝かなかった。 電話番号を抽出します。
そして、この番号とメールの有効性を同時に確認します。
グーグルにしましょう:
最初のリンクをたどります:
そして、こちらが直接支払い先です:
そのようなことがあるように思われ、人は商業活動を行い、彼の連絡先情報を隠しません。 これはそうです、もしあなたがコンスタンティンがどこにも輝いておらず、おそらく望んでいない郵送アドレスの瞬間を考慮に入れなければ。 長い間、私はスクリーンショットに目を通し、Kostyaの安全性と静けさのリンクを公開しませんでした。
最後の例は、このデータを無害に使用するベクトルの1つに過ぎず、この方法で取得した他の情報を使用してターゲットに正確にヒットする広告メールに加えてです。
端末からの支払いがこのリークに該当するかどうかは確かではありませんが、その数は印象的です。 レポートの送信時の範囲は、2,000,000,000〜450,000,000の範囲にあります。現時点では、図は578417740レコードを超えています。
再販業者としての私は、この「バグ」にまったく驚いていません。 しかし、QIWIウォレットのアクティブユーザーとして、会社の従業員が単純に凍結する修正速度。
この出版物のリリースにより、会社の専門家がより早く働き始め、ユーザーデータが安全になることを願っています。
すべての良いとシールキビコフ。
UPD 修正済み 。