Comments 19
Вспомнилось.
Лет 12 назад я возвращался из Питера в Москву, рейс задержали часов на 5, и от нечего делать решил пошариться по стоящему в зале ожидания терминалу (вроде это был Киберплат, но точно не помню). Помимо оплаты сотовых операторов, там была и оплата домашнего интернета всяких провайдеров. Где-то был числовой номер лицевого счета, а где-то и ввод буквенного логина. В последнем случае открывалась полноценная виртуальная клавиатура, которая, хоть и была явно кастомной, зачем-то имела все спецсимволы типа кавычек и угловых скобок, а на следующем экране выводился введенный логин, и выглядело это все как HTML-ный rich text. В общем, банальный XSS вида <a href=file://C:/> прокатил, и я в итоге как раз развлекался раскладыванием XP-шной косынки. :)
Главную свою задачу — отмыв бабок, эти терминалы выполняют. На все остальное всем заинтересованным сторонам вообще побоку.
Был бы я на твоем месте, я бы посоветовался с знающими людьми, что делать в такой ситуации. У QIWI существует программа по поиску ошибок, на HackerOne. Ты мог отправить отчет, и получить благодарность от компании тем самым повысив свою репутацию.
Тем самым ты поднял репутацию, получил «bounty» и все остались довольны.
Статья интересная, но нужно было довести дело и не показать что сотрудник «останется без работы».
>windows
>>windows 7
>>>windows 7 home basic
>>>>teamviewer
>>>>>вконтактеЧёрт, да эти терминалы практически натуральная мишень… Мне интересно в qiwi вообще есть хоть какое-то подобие СБ и чем они там мать его занимаются?!?!?! Я ни разу не пользовал qiwi для своих нужд, но если бы пользовал меня бы инфаркт хватил от такого набора дырок.
Мне интересно в qiwi вообще есть хоть какое-то подобие СБ
Есть. Но они сейчас заняты переустановкой windows.
Не знаю насчёт Киви, но как-то раз пришли с товарищем в KFC и увидели нерабочий терминал с торчащей сбоку экранной клавой от семёрки. Аккорд Win+R и C: в качестве пути обнажили обычную инсталляцию седьмой винды… и красующиеся рядом папочки "AutoKMS" и "Activators" :-)
… но напакостить, да, сможете...
Падажжжи, а разве этого мало?!?!
Ну, например, можно, наверное, написать скрипт, который при подтверждении ввода номера телефона заменяет номер телефона на номер телефона злоумышленника (точнее дропа, разумеется). Там же html интерфейс, модификация должна быть не так сложна. Понятное дело, у самого киви денег не украдешь, но у пользователей терминала - вполне.
владеют агенты, а QIWI только разрабатывает платежное ПО, но не обслуживает терминалы.
Тем не менее мы донесём информацию и проведём работу с агентами.
Мы открыты для сбора интересных уязвимостей. В QIWI есть публичная программа bug bounty, где можно получить денежное вознаграждение за найденную уязвимость. Пожалуйста, продублируйте данную ошибку туда. Мы готовы принять данный баг.
Наша аналитика атак говорит о том, что обычно, получив доступ к терминалу, злоумышленника в первую очередь интересует несанкционированный перевод денег, данный риск закрывается встроенной безопасностью платежного ПО. Но мы обязательно посмотрим в сторону дополнительных рекомендаций по безопасности для агентов.
а QIWI только разрабатывает платежное ПО
Может пора перестать разрабатывать ПО под Windows (ну или как минимум сломать поддержку устаревших версий не получающих должных обновлений безопасности и сделать проверку наличия оных), в мире столько хороших ос.. Я бы ещё порекомендовал сделать в вашем по проверку на наличие других заведомо дырявых приложений в системе при нахождении которых отказ от работы.
Интересно.
И невесело, конечно, что кто-то до сих пор бегает к этим терминалам закинуть тысячную, чтобы тут же слить её в азартные игры.
Контекст не соответствует заголовку и выводам. Я уж было подумал,что действительно нашли уязвимость терминалов, а по факту обыкновенный человеческий фактор. Так можно заявить и об уязвимости Windows Server, SQL баз данных, да вообще чего угодно. Статье не зачёт
Безопасность терминалов Qiwi…