Comments 39
Классно вы скрыли аватарку, оставив фото в ленте)
+1
Планета, как всегда в опасности ;) Прямо палево-палев…
0
Не Киви единым будут баги.
0
Костик-полиглот
+3
За аналогичный косяк в РБК-Money их гнобили оченбь жостко. Интересно какая реакция будет сейчас.
+1
В rbk-money только на днях убрали email из результата оплаты, который был скрыт под base64.
А вот перебор еще есть: sko.rbkmoney.ru/opencms/opencms/default/waitingPage.html?invoiceId=1063827369&language=ru&transactionId=17124294
Багом они это не считают. Флаг им в руки.
А вот перебор еще есть: sko.rbkmoney.ru/opencms/opencms/default/waitingPage.html?invoiceId=1063827369&language=ru&transactionId=17124294
Багом они это не считают. Флаг им в руки.
+4
Удалить акк можно только через техподдержку?
+2
Кто там у нас бдит за личными данными, Роскомнадзор?
Кажется, есть способ форсировать латание дырки путем точечного воздействия на проф. орган, только вот вопрос — зачем…
Но факт — программисты не думают… или думают, но руководство не слушает о предупреждениях…
Кажется, есть способ форсировать латание дырки путем точечного воздействия на проф. орган, только вот вопрос — зачем…
Но факт — программисты не думают… или думают, но руководство не слушает о предупреждениях…
+1
Уж полночь близится (с), а баг ещё на месте :)
+1
Скрин с топика vk сгуглился, и что то номер странный: clck.ru/9YYbf
-2
Интересно есть ли такое на Яндекс-Деньги? Как раз было бы интересно узнать немного о некоторых аккаунтах в Яне ))
0
Немного не в тему электронной коммерции, но у Сбербанка(и не только) вообще камера установлена с видом на клавиатуру ввода. То есть пин-код по их мнению не является персональной информацией.
+5
Аналогичная проблема у очень популярной украинской компании по пополнению мобильных.
Позвонил, а затем написал им в поддержку — посмотрим, как отреагируют.
Позвонил, а затем написал им в поддержку — посмотрим, как отреагируют.
0
Привет из QIWI!
Спасибо за такое освещение информации о данной проблеме, у нас получилось с ней быстро разобраться.
Fixed! Пожалуйста, подтвердите, что проблема более не воспроизводится.
И да, не могу не напомнить, что мы рады всем багам о которых вы нам сообщаете.
Вместе мы делаем QIWI лучше и безопаснее.
Ждем Ваших репортов на нашу официальную программу поиска уязвимостей: hackerone.com/qiwi
Там же нам можно в комментах задавать любые вопросы и нажать кнопочку “потребовать разглашение данной уязвимости” :)
Спасибо за такое освещение информации о данной проблеме, у нас получилось с ней быстро разобраться.
Fixed! Пожалуйста, подтвердите, что проблема более не воспроизводится.
И да, не могу не напомнить, что мы рады всем багам о которых вы нам сообщаете.
Вместе мы делаем QIWI лучше и безопаснее.
Ждем Ваших репортов на нашу официальную программу поиска уязвимостей: hackerone.com/qiwi
Там же нам можно в комментах задавать любые вопросы и нажать кнопочку “потребовать разглашение данной уязвимости” :)
+5
Оперативненько.
Хотелось бы узнать, с чем связано столь долгое бездействие по этой проблеме?
Хотелось бы узнать, с чем связано столь долгое бездействие по этой проблеме?
+5
(c интересом) Ждём, заплатят ли топикстартеру?
И если (вдруг) да, то сколько?
И если (вдруг) да, то сколько?
+2
К сожалению, по условиям программы за дубликаты нет награды, ТС пролетел уже давно :)
Возможно, команда QIWI огласит сумму вознаграждения первому ресёрчеру.
Возможно, команда QIWI огласит сумму вознаграждения первому ресёрчеру.
0
Я правильно понял, что этой ошибке полгода?
0
Этот отчёт, которому на данный момент более полугода, отмечен как дубликат, поэтому, скорее всего, проблема остаётся неисправленной ещё дольше.
Кстати, оперативно не только пофиксили проблему, но и внесли (правильные?) поправки в условия багбаунти программы, которых не было до этого.
Политика раскрытия Qiwi
Отправляя отчет, вы соглашаетесь соблюдать политику раскрытия Qiwi, которая запрещает публичное или частное раскрытие любой найденной уязвимости Qiwi в течение 90 дней после закрытия уязвимости и только по взаимному соглашению сторон.
А закрывать могут долго :(
+1
>почему порой на приватную почту или мобильный сыпется спам
Потому что в договоре может быть прямо так и написано — указывая на терминале почту или телефон, вы даёте согласие на получение рекламы от владельца и третьих лиц. Не у всех так, но я встречал у многих. Читайте оферту терминала.
Потому что в договоре может быть прямо так и написано — указывая на терминале почту или телефон, вы даёте согласие на получение рекламы от владельца и третьих лиц. Не у всех так, но я встречал у многих. Читайте оферту терминала.
+1
Нет, так писать в договоре уже нельзя. Пользователь терминала должен явно выразить согласие на получение рекламы (т.е. должен именно поставить галочку на получение рекламы, если она поставлена по умолчанию, то это нарушение).
0
+2
Это свежая фотография? ФАС не принимает подобные «согласия» и накладывает штрафы. Был уверен, что большие компании типа КИВИ внесли изменения в ПО своих терминалов и теперь требуется поставить галочку, чтобы получать спам.
0
Вот нашел цитату —
статья 44.1 126-ФЗ «О связи» определяет требования к осуществлению рассылки — для рассылки SMS-сообщений требуется наличие предварительно полученного согласия абонента, выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение рассылки.
0
Оказывается, народ у нас только покупает шмотки в Китае и играет в игры-тотализаторы-форексы.
-3
Года 4 назад когда в очередной раз пополнял кошелек через QIWI терминал нужно было вводить свой пароль из нескольких цифер. Мне нужно было срочно пополнить мой телефон, но с терминалов тогда уже убрали эту возможность, на телефоне и так нет возможности, а комп далеко. Я подумал, что можно пополнить если запланировать платеж, эта функция работала. Я запланировал через терминал платеж, который должен быть исполнен через 5 минут. Через 5 минут пришли деньги и я понял, что это отличный момент для мошенников, стоишь около терминала, записываешь номера и пароли, через 2 минуты после ухода человека логинишся и переводишь на левый номер средства.
В этот же день написал в письмо с уязвимостью, на что они ответили, что это не является уязвимостью.
После этого лень сдерживала меня от халявы.
В этот же день написал в письмо с уязвимостью, на что они ответили, что это не является уязвимостью.
После этого лень сдерживала меня от халявы.
-7
Что интересно, для возможности полноценно пользоваться всеми возможностями интернет-кошельков в РФ, например яндекс.мани, по-моему нужно обязательно указывать свои паспортные данные. Не знаю как в киви и рбк-мани, пользуюсь только вебмани и пэйпал, там проще.
Это уже даже не логин с паролем.
Это уже даже не логин с паролем.
+1
Киви просто просит каждый раз ввести паспортные данные. Я каждый раз отказываюсь, а платежи все равно идут. Paypal в то же время написал, что мой аккаунт временно заморожен, пока я не введу свои данные.
+1
Аналогично Paypal «порадовал»:
Хотят паспортные данные. На запрос подробностей в виде номера закона, статьи и пояснения ответа так и не получил.
Кто-нибудь в курсе, что за фигня? Сумма платежей в месяц через него не более 1000р, т.е. явно не похоже на 15к и борьбу с терроризмом…
Ваш счет PayPal ограничен, поскольку мы не получили ранее запрошенную информацию, которую мы обязаны собрать в соответствии с российским законодательством. Это означает, что Вы не можете отправлять, получать или выводить денежные средства.
Хотят паспортные данные. На запрос подробностей в виде номера закона, статьи и пояснения ответа так и не получил.
Кто-нибудь в курсе, что за фигня? Сумма платежей в месяц через него не более 1000р, т.е. явно не похоже на 15к и борьбу с терроризмом…
0
Я ровно такой же баг несколько лет назад в Webmoney Telepay сдал. Саппорт долго отмораживался «это не баг» и не хотел разработчикам передавать. Когда сам в личку разработчикам скинул, поправили в течение получаса и обещали люлей саппорту отгрузить.
0
Sign up to leave a comment.
Утечка пользовательских данных в QIWI