Утечка пользовательских данных в QIWI



Вкратце, существует возможность собрать огромное количество данных о платежах по выставленным счетам, произведённых в системе. Эти данные включают в себя назначение платежа, описание, сумму. И самое главное: номер мобильного телефона плательщика, который, в некоторых случаях, по совместительству, является логином в кошельке. В описаниях же обычно доступна и иная информация, которая не должна быть достоянием общественности, как и всё ранее упомянутое.

Выждав, как полагается, достаточное количество времени для возможности исправления, решил представить общественности найденную мной утечку конфиденциальных данных. Исследование проводилось в рамках багбаунти программы. Этот отчёт, которому на данный момент более полугода, отмечен как дубликат, поэтому, скорее всего, проблема остаётся неисправленной ещё дольше.

Проверял всё описанное ниже со своим кошельком, информация, к сожалению, совпадает. Данные доступны любому желающему, для эксплуатации нет никаких зависимостей, осуществляется простым перебором параметра order.

Подтвердим описанное выше на примере. Пройдя по ссылке https://w.qiwi.com/order/external/main.action?order=524928171&phone=12345, получим ответ:



А заглянув в HTML код, найдём телефонный номер пользователя, совершившего данный платеж.



Ещё один пример, с отменённым статусом.



HTML:



А здесь помимо упомянутых данных имеется чей-то email, который, кстати, не гуглится. Этот случай, как нельзя кстати, подходит под ответ на вопрос, почему порой на приватную почту или мобильный сыпется спам.



Идём дальше:



Почта, так же, не светилась. Извлекаем телефонный номер:



И тут же подтверждаем валидность этого номера и почты заодно:



Let's Google it:



Переходим по первой ссылке:



А вот и получатель платежа собственной персоной:



Казалось бы, что тут такого, человек ведёт коммерческую деятельность и не скрывает своих контактных данных. Всё так, если не учитывать момента с почтовым адресом, который Константин нигде не светил и наверняка не хочет. Долго замазывал скрины и не публиковал ссылку для безопасности и спокойствия Костика.

Последний пример лишь один из векторов безобидного использования этих данных, помимо рекламных рассылок которые будут бить точно в цель, используя другую информацию полученную этим методом.

Не знаю точно, попадают ли в эту утечку платежи сделанные через терминалы, но цифры внушительные. Диапазон, на момент отправки отчёта, лежал в приблизительном промежутке от 200000000 до 450000000. На данный момент цифра перевалила за 578417740 записей.

Меня, как ресёрчера, ничуть не удивляет этот «баг». Но как активного пользователя QIWI кошелька, просто вымораживает та скорость фикса, с которой её совершают сотрудники компании.

Надеюсь, с выходом данной публикации специалисты компании начнут работать шустрее, а данные пользователей будут в сохранности.

Всем добра и котиков кивиков.



UPD Исправлено.
Share post

Comments 39

    +1
    Классно вы скрыли аватарку, оставив фото в ленте)
      +1
      Аватарка не скрывалась, это у Костика такая ава с тильдой
        +1
        А, простите… А так похоже)
      0
      Планета, как всегда в опасности ;) Прямо палево-палев…
        0
        Не Киви единым будут баги.
          +3
          Костик-полиглот
            +1
            За аналогичный косяк в РБК-Money их гнобили оченбь жостко. Интересно какая реакция будет сейчас.
            +2
            Удалить акк можно только через техподдержку?
              +1
              Кто там у нас бдит за личными данными, Роскомнадзор?
              Кажется, есть способ форсировать латание дырки путем точечного воздействия на проф. орган, только вот вопрос — зачем…
              Но факт — программисты не думают… или думают, но руководство не слушает о предупреждениях…
                +1
                Уж полночь близится (с), а баг ещё на месте :)
                  –2
                  Скрин с топика vk сгуглился, и что то номер странный: clck.ru/9YYbf
                    0
                    Интересно есть ли такое на Яндекс-Деньги? Как раз было бы интересно узнать немного о некоторых аккаунтах в Яне ))
                      +5
                      Немного не в тему электронной коммерции, но у Сбербанка(и не только) вообще камера установлена с видом на клавиатуру ввода. То есть пин-код по их мнению не является персональной информацией.
                        0
                        Аналогичная проблема у очень популярной украинской компании по пополнению мобильных.
                        Позвонил, а затем написал им в поддержку — посмотрим, как отреагируют.
                          +5
                          Привет из QIWI!
                          Спасибо за такое освещение информации о данной проблеме, у нас получилось с ней быстро разобраться.
                          Fixed! Пожалуйста, подтвердите, что проблема более не воспроизводится.

                          И да, не могу не напомнить, что мы рады всем багам о которых вы нам сообщаете.
                          Вместе мы делаем QIWI лучше и безопаснее.
                          Ждем Ваших репортов на нашу официальную программу поиска уязвимостей: hackerone.com/qiwi
                          Там же нам можно в комментах задавать любые вопросы и нажать кнопочку “потребовать разглашение данной уязвимости” :)
                            +5
                            Оперативненько.
                            Хотелось бы узнать, с чем связано столь долгое бездействие по этой проблеме?
                              +3
                              Видимо пока жареный петух не клюнет. Ещё в прошлом году писал им об этом, и они уже были в курсе.
                                +5
                                Видимо волшебная сила огласки. Может руководитель читает хабр(а царь то не в курсе) и дал волшебного пенделя.
                              +2
                              (c интересом) Ждём, заплатят ли топикстартеру?
                              И если (вдруг) да, то сколько?
                                0
                                К сожалению, по условиям программы за дубликаты нет награды, ТС пролетел уже давно :)
                                Возможно, команда QIWI огласит сумму вознаграждения первому ресёрчеру.
                                  0
                                  Я правильно понял, что этой ошибке полгода?
                                    +1
                                    Этот отчёт, которому на данный момент более полугода, отмечен как дубликат, поэтому, скорее всего, проблема остаётся неисправленной ещё дольше.


                                    Кстати, оперативно не только пофиксили проблему, но и внесли (правильные?) поправки в условия багбаунти программы, которых не было до этого.

                                    Политика раскрытия Qiwi

                                    Отправляя отчет, вы соглашаетесь соблюдать политику раскрытия Qiwi, которая запрещает публичное или частное раскрытие любой найденной уязвимости Qiwi в течение 90 дней после закрытия уязвимости и только по взаимному соглашению сторон.


                                    А закрывать могут долго :(
                              +1
                              >почему порой на приватную почту или мобильный сыпется спам
                              Потому что в договоре может быть прямо так и написано — указывая на терминале почту или телефон, вы даёте согласие на получение рекламы от владельца и третьих лиц. Не у всех так, но я встречал у многих. Читайте оферту терминала.
                                0
                                Нет, так писать в договоре уже нельзя. Пользователь терминала должен явно выразить согласие на получение рекламы (т.е. должен именно поставить галочку на получение рекламы, если она поставлена по умолчанию, то это нарушение).
                                  +2
                                  image
                                    0
                                    Это свежая фотография? ФАС не принимает подобные «согласия» и накладывает штрафы. Был уверен, что большие компании типа КИВИ внесли изменения в ПО своих терминалов и теперь требуется поставить галочку, чтобы получать спам.
                                      +1
                                      Последний раз, когда платил в автомате, там была галочка о получении рекламы. Правда, возможно, это был не QIWI.
                                      0
                                      Вот нашел цитату —
                                      статья 44.1 126-ФЗ «О связи» определяет требования к осуществлению рассылки — для рассылки SMS-сообщений требуется наличие предварительно полученного согласия абонента, выраженного посредством совершения им действий, однозначно идентифицирующих этого абонента и позволяющих достоверно установить его волеизъявление на получение рассылки.
                                  –3
                                  Оказывается, народ у нас только покупает шмотки в Китае и играет в игры-тотализаторы-форексы.
                                    +2
                                    Да прям! А как же оплата за вторую четверть обучения от некоей Рашидовой? Не все так плохо, в целом. :)
                                    Вот
                                    image
                                    –7
                                    Года 4 назад когда в очередной раз пополнял кошелек через QIWI терминал нужно было вводить свой пароль из нескольких цифер. Мне нужно было срочно пополнить мой телефон, но с терминалов тогда уже убрали эту возможность, на телефоне и так нет возможности, а комп далеко. Я подумал, что можно пополнить если запланировать платеж, эта функция работала. Я запланировал через терминал платеж, который должен быть исполнен через 5 минут. Через 5 минут пришли деньги и я понял, что это отличный момент для мошенников, стоишь около терминала, записываешь номера и пароли, через 2 минуты после ухода человека логинишся и переводишь на левый номер средства.
                                    В этот же день написал в письмо с уязвимостью, на что они ответили, что это не является уязвимостью.
                                    После этого лень сдерживала меня от халявы.
                                      +6
                                      Вы еще возле банкоматов стоять не пробовали, вот где соблазн получить по лицу
                                      +1
                                      Что интересно, для возможности полноценно пользоваться всеми возможностями интернет-кошельков в РФ, например яндекс.мани, по-моему нужно обязательно указывать свои паспортные данные. Не знаю как в киви и рбк-мани, пользуюсь только вебмани и пэйпал, там проще.
                                      Это уже даже не логин с паролем.
                                        +1
                                        Киви просто просит каждый раз ввести паспортные данные. Я каждый раз отказываюсь, а платежи все равно идут. Paypal в то же время написал, что мой аккаунт временно заморожен, пока я не введу свои данные.
                                          0
                                          Аналогично Paypal «порадовал»:
                                          Ваш счет PayPal ограничен, поскольку мы не получили ранее запрошенную информацию, которую мы обязаны собрать в соответствии с российским законодательством. Это означает, что Вы не можете отправлять, получать или выводить денежные средства.

                                          Хотят паспортные данные. На запрос подробностей в виде номера закона, статьи и пояснения ответа так и не получил.
                                          Кто-нибудь в курсе, что за фигня? Сумма платежей в месяц через него не более 1000р, т.е. явно не похоже на 15к и борьбу с терроризмом…
                                        0
                                        Костик собственной персоной =)
                                          0
                                          Из-за бага в Киви теперь все знают, что Костик — читер. :)
                                          0
                                          Я ровно такой же баг несколько лет назад в Webmoney Telepay сдал. Саппорт долго отмораживался «это не баг» и не хотел разработчикам передавать. Когда сам в личку разработчикам скинул, поправили в течение получаса и обещали люлей саппорту отгрузить.

                                          Only users with full accounts can post comments. Log in, please.