この脆弱性は単純だと書いているのはなぜですか? 昨年のウクライナの電子決済システムPortmone.comには、このようなエラーがあったためです。 Fidobank(Habrahabrに投稿 )のように。 ただし、そこで言及されているQiwiまたはTinkoff Bankのように、多くの例があります。 そして、まだ発見されていない、公開されていないものがいくつあるか...
だから、脳を温めるために、私は他の誰かをテストしたかった。 そして、8月末に「 プラチナ銀行は新しい支払いポータルpay.ptclick.com.uaを導入しました 」。
公式ウェブサイトからのプラチナ銀行について:
プラチナ銀行は国内銀行システムの最大の参加者の1つです。 NBU格付けによると、銀行グループに属します(Platinum Bankはウクライナの銀行システムの資産の0.5%以上を占めています)。 地域ネットワークには、ウクライナのさまざまな地域に69の支店と1080の販売拠点があります...
銀行は、デジタルバンクプロジェクトにも積極的に取り組んでいます。 特に、pay.ptclick.com.uaプラットフォームとPlatinum Lab金融革新研究所を積極的に開発しています。
そこで、明らかな脆弱性をチェックすることにしました。
pay.ptclick.com.uaポータルへの登録は非常に簡単です-電子メール+パスワードおよびcaptchaフィールド。
他の顧客の支払いに関する情報を表示するという特定のエラーを見つけることを考えていたので、何かを構築する必要がありました。
登録後、携帯電話の補充など、何らかの支払いを行い、操作後、「履歴」セクションに進みました。
「履歴」には、次の可能性があります。
1)フォームpay.ptclick.com.ua/en/history/paymentdetails/XXXXのリンクを使用してトランザクションデータを表示する
2) pay.ptclick.com.ua/en/biller/payment/XXXXをクリックしてこの操作を繰り返します
3) pay.ptclick.com.ua/en/biller/receipt/XXXXXXXXでPDFの領収書をダウンロードします
4) pay.ptclick.com.ua/en/history/sendreceipt/XXXXXXXXに電子メールで領収書を送信します
したがって、上記のリンクのいずれかで数値パラメーターXXXXを並べ替えるだけで、他のクライアントの操作に関する情報を取得できます。 XXXXXXXXの選択はもう少し難しくなりますが、このような操作を並べ替えるときには、支払いポータルでの承認(!)も必要ありません。
いくつかの操作の例 
したがって、ポータルでは、 pay.ptclick.com.uaを使用したすべての顧客のすべての操作(ユーティリティ、インターネット、モバイル、Skypeなどの支払い)に関する情報を取得できます。
私はこの状況について繰り返し手紙を送りました。私が見つけた住所への銀行への最初のメッセージは2ヶ月前の10月上旬に私から送られました。
最初に、エラーについて特定のデータを指定せずに、担当のスペシャリストに連絡して、これを知らない人にエラーを配布しないように依頼しました。
しかし、銀行は常に「当社の担当者があなたに連絡するために、あなたの連絡先とあなたが電話を受けるのに都合の良い時間を示してください」という答えを出しました(つまり、私のメールはコミュニケーションに十分ではありません、彼らは正確に必要です電話)。
後で、bit.lyを使用してリンクを短縮し(クリックした人の数を確認できるようにします)、問題の正確な場所を示しました。 現在までに、各リンクは約6〜7の移行を行っています。
興味深いことに、最初のリンクのクリックは10月17〜18日にのみ行われ、問題を思い出したのは10月の初めではなく、初めてそれらを書いたときです。
10月上旬に送信したエラーリンクを含む最初のメッセージは、約2週間にわたって責任者に送信されませんでした。
その後、他のクリックリンクがありました。つまり、問題を思い出した11月の11月に、このポータルを担当しているマネージャーの実際の電子メールを見つけ、彼に個人的に手紙を送りました。
一番下の行:さまざまなチャネルを介した問題の通知、これまでのエラーにもかかわらず、最初のメッセージから2か月(!)プラチナバンクは修正されていません。