Gorodnya Dec 7 2016 at 11:15

Уязвимость в платёжном сервисе Платинум Банка (Украина)

3 min

14K

Information Security*Payment systems*

+28

Comments 23

Bringoff Dec 7 2016 at 11:31

ошибка до сих пор, через два (!) месяца после первого сообщения, Платинум Банком не исправлена.

Я бы такое публиковать не рискнул :) Если такая, скажем, "детская" ошибка всплыла, и фиксить ее не спешат, сколько всего более серьезного в системе Платинум банка можно найти, копнув чуть глубже. Впрочем, сами виноваты.
~~Кто-то пытался пополнить телефон на 2000 грн О_о Один вопрос — зачем?~~

UFO just landed and posted this here

NikitaYakuntsev Dec 7 2016 at 11:36

Кто-то пытался пополнить телефон на 2000 грн О_о Один вопрос — зачем?

Предположу, что в качестве оплаты услуги по созданию схрона с запрещенными препаратами.

TimsTims Dec 7 2016 at 11:39

> простым перебором числового параметра XXXX в любой из ссылок выше можно получить информацию об операциях других клиентов
Ну блин. Я думал, щас будет использование изощрённой комбинации полу-уязвимостей, которые вкупе дают вполне себе уязвимость. Что-нибудь с куками, сессиями, немного XSS, анализ JSON, расшифровки формирования ID документа и получения заветных данных. А тут просто инкрементальный перебор :). Куда теперь девать попкорн?

olegcorner Dec 7 2016 at 12:17

Гусары! Молчать! Ни слова! :)

Gorodnya Dec 7 2016 at 12:32

Да, всё действительно довольно просто, как я и писал в начале поста) Но другие компании, где я находил такую ошибку, исправляли её максимум за неделю, а эти даже не шевелятся.

AEP Dec 8 2016 at 12:27

Найти того, кто сертифицировал банк на PCI DSS, и нажаловаться им. После такого исправляют быстро.

Markscheider Dec 7 2016 at 12:31

Знаете, не скажу за все коммерческие организации, но большинство к вещам типа утечки личной инфы относятся излишне спокойно. Вот если уязвимость с возможностью кражи денег — тогда ой. А подсмотреть адрес, почту, номер мобильного — никто по этому поводу особо не парится.

Из личного опыта — нашел на mail.ru баг с возможностью в некоторых случаях видеть email для сброса пароля. Даже писать им не стал. В песочницу на ГТ пост разместил — может там прочитают :)

Gorodnya Dec 7 2016 at 12:43

А не хотели в их Bug Bounty принять участие? https://hackerone.com/mailru

Markscheider Dec 7 2016 at 13:05

Наверное, поздно уже. Но попробую, спасибо

Markscheider Dec 7 2016 at 14:30

Попробовал, засабмитил баг.
Ответили обыкновенно;
We do not see direct security risks here and consider this behavior as acceptable.

Но я все равно остаюсь при своем мнении. Неужели так сложно в маску звездочек напихать? ad@mail.ru гораздо менее секьюрно, чем ad*****@mail.ru…

Zegaldis Feb 13 2017 at 23:41

Можно ссылку на этот пост? :)

Markscheider Feb 14 2017 at 00:10

https://geektimes.ru/sandbox/4564/

AVX Dec 7 2016 at 13:43

Хм… я открыл одну из ссылок наугад, требуется регистрация. То есть нужно хоть что-то оплатить чтобы далее смотреть. А это значит, что потенциально они будут знать, кто и что просматривал.
Кстати, надпись

© Сервіс грошових переказів Pay2You

намекает, что они используют сторонний сервис.

Gorodnya Dec 7 2016 at 13:49

Регистрация там простая — e-mail-а достаточно. А тот сервис, что вы указали, встраивается только для p2p-переводов, он не имеет отношения к описанной мной ситуации, это отдельная компания.

dvsx86 Dec 7 2016 at 14:30

в очередной раз убеждаюсь, что все современные банковские системы — решето. к сожалению.

cepro Dec 7 2016 at 15:08

По клику, например, на https ://pay.ptclick.com.ua/ru/biller/receipt/ 1199011, открывается 404 страница. Пофиксили?..

AVX Dec 7 2016 at 15:52

Возможно, переделали чуть-чуть. Надо ковырять java скрипт по кнопке «проверить платёж». последний номер платежа 1257244.
P.S. я не платил ничего :)

Qvinti Dec 7 2016 at 16:33

Я еще год назад о уязвимостях отписывал и о багах в аппе, реакция 0. После этого мне проще было закрыть счета и обслуживаться в другом банке. Еще было куча баг в работе с платежными сервисами — деньги со счета уходили и не доходили до адресата, а возврат в течении месяца.

cybernortham Dec 7 2016 at 16:33

Позже, укоротив ссылки через bit.ly (позволяет видеть, сколько человек кликнут по ним), я указал, где именно проблема. На сегодняшний день по каждой из ссылок было около 6-7 переходов.

По каждой из укороченной, как я понял. Не думаю, что это были переходы специалистов по безопаности — было бы странно, если бы безопасники кликали по укороченным ссылкам, полученным от незнакомца. Они, скорее всего, «разрезолвили» эти линки, и перешли напрямую.
Хотя, принимая во внимание саму статью, никогда не знаешь, чего от них ждать

Markscheider Dec 7 2016 at 22:31

было бы странно, если бы безопасники кликали по укороченным ссылкам, полученным от незнакомца

Вы изобрели прекрасный способ тестирования профпригодности безопасников! Посылаешь им укороченную ссылку со счетчиком. И на странице, куда она ведет — тоже счетчик. А потом сравниваешь показания и смотришь — кто кликнул на коротком адресе, не думая о последствиях :)

Gorodnya Dec 7 2016 at 22:42

Cаму идею я увидел, кажется, тут: https://habrahabr.ru/post/305706/

А вообще многие сокращатели ссылок имеют такую интересную особенность, что даже без нажатия на полученную ссылку можно понять, куда она ведёт — например, в конце ссылки на bit.ly нужно добавить "+", чтобы она приняла вид https://bitly.com/google+ — и откроется статистика переходов. Попробуйте)

Не знаю, знают ли об этом безопасники:)

TheShock Dec 8 2016 at 18:47

А я такие ссылки спокойно в анонимной вкладке открываю

Show the best of all time