Уязвимость в платёжном сервисе Платинум Банка (Украина)

    Не так давно я решил протестировать очередной банк или платёжную компанию на предмет наличия простой, но от этого не менее популярной уязвимости вида «Возможность просмотра операций других клиентов».

    Почему я пишу, что эта уязвимость простая? Потому что украинская электронная платёжная система Portmone.com в прошлом году имела такую ошибку. Как и Фидобанк (пост на Хабрахабр). Впрочем, как и упомянутые там же Qiwi или Тинькофф Банк — примеров множество. А сколько ещё не найдено, не опубликовано…

    Итак, с целью разминки мозга мне захотелось проверить кого-то ещё. А в конце августа "Platinum Bank представил новый платежный портал pay.ptclick.com.ua".

    Про Платинум Банк с официального сайта:
    Platinum Bank – один из крупнейших участников отечественной банковской системы. Относится к І группе банков согласно рейтингу НБУ (на долю Platinum Bank приходится более 0,5% активов банковской системы Украины). Региональная сеть насчитывает 69 отделений и 1080 пунктов продаж в различных регионах Украины…

    Также банк активно работает над проектом Digital Bank. В частности, активно развивает платформу pay.ptclick.com.ua и лабораторию финансовых инноваций Platinum Lab.

    Вот его я и решил проверить на очевидную уязвимость.

    Регистрация на портале pay.ptclick.com.ua предельно проста — e-mail + пароль и поле для капчи.



    Так как я думал найти конкретную ошибку — просмотр информации об оплатах других клиентов — мне нужно было от чего-то отталкиваться.

    После регистрации я сделал какую-то оплату вроде пополнения мобильного и, после проведения операции, зашёл в раздел «История».

    В «Истории» существует возможность:

    1) посмотреть данные об операции по ссылке вида pay.ptclick.com.ua/ru/history/paymentdetails/XXXX
    2) повторить данную операцию, нажав на pay.ptclick.com.ua/ru/biller/payment/XXXX
    3) скачать квитанцию в PDF по ссылке pay.ptclick.com.ua/ru/biller/receipt/XXXXXXXX
    4) отправить квитанцию на e-mail по ссылке pay.ptclick.com.ua/ru/history/sendreceipt/XXXXXXXX

    Так вот, простым перебором числового параметра XXXX в любой из ссылок выше можно получить информацию об операциях других клиентов. XXXXXXXX подбирается чуть сложнее, но при переборе таких операций не требуется даже авторизация (!) на платёжном портале.

    Примеры некоторых операций








    Таким образом, на портале можно получить информацию обо всех операциях всех клиентов, которые воспользовались pay.ptclick.com.ua — платежи за коммунальные услуги, интернет, мобильный, Skype и прочее:



    Письмо про данную ситуацию я отправлял неоднократно, первое сообщение в банк по найденным адресам было отправлено мной в первых числах октября, два месяца назад.

    Изначально я просил связаться со мной ответственного специалиста, не указывая конкретных данных об ошибке, дабы не распространять её среди тех, кому этого знать не следует.

    Но со стороны Банка постоянно приходил ответ в духе «Для того, чтобы с Вами связался наш представитель, пожалуйста, укажите Ваши контактные данные и время, когда Вам удобно будет получить звонок» (т.е. моей почты недостаточно для связи, им необходим именно телефон).

    Позже, укоротив ссылки через bit.ly (позволяет видеть, сколько человек кликнут по ним), я указал, где именно проблема. На сегодняшний день по каждой из ссылок было около 6-7 переходов.



    Что интересно, первые переходы по ссылкам были совершены только 17-18-го октября, когда я ещё раз напоминал о проблеме, а никак не в начале октября, когда писал им впервые.

    Отсюда вытекает, что первые сообщения с ссылками об ошибке, отправленные мной в начале октября, не передавались ответственным лицам около двух недель.

    Затем были остальные переходы по ссылкам — в ноябре, а именно на следующий день после того, как я вспомнил о проблеме, нашёл рабочий e-mail руководителя, который ответственен за этот портал, и отправил письмо лично ему.



    В сухом остатке: не смотря на мои уведомления о проблеме по разным каналам, ошибка до сих пор, через два (!) месяца после первого сообщения, Платинум Банком не исправлена.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 23

      0
      ошибка до сих пор, через два (!) месяца после первого сообщения, Платинум Банком не исправлена.

      Я бы такое публиковать не рискнул :) Если такая, скажем, "детская" ошибка всплыла, и фиксить ее не спешат, сколько всего более серьезного в системе Платинум банка можно найти, копнув чуть глубже. Впрочем, сами виноваты.
      Кто-то пытался пополнить телефон на 2000 грн О_о Один вопрос — зачем?

        0
        Скорее всего это оплата за какие то услуги от третьего лица. А тот кому пополняли на контракте. Там деньги съедаются быстро :)

        А насчет медленной реакции. Была какая то информация что у них проблемы с ликвидностью. Информация не 100% достоверна, но объяснет их «занятость».
          +1
          Кто-то пытался пополнить телефон на 2000 грн О_о Один вопрос — зачем?

          Предположу, что в качестве оплаты услуги по созданию схрона с запрещенными препаратами.
          +7
          > простым перебором числового параметра XXXX в любой из ссылок выше можно получить информацию об операциях других клиентов
          Ну блин. Я думал, щас будет использование изощрённой комбинации полу-уязвимостей, которые вкупе дают вполне себе уязвимость. Что-нибудь с куками, сессиями, немного XSS, анализ JSON, расшифровки формирования ID документа и получения заветных данных. А тут просто инкрементальный перебор :). Куда теперь девать попкорн?
            0
            Гусары! Молчать! Ни слова! :)
              +1
              Да, всё действительно довольно просто, как я и писал в начале поста) Но другие компании, где я находил такую ошибку, исправляли её максимум за неделю, а эти даже не шевелятся.
                0
                Найти того, кто сертифицировал банк на PCI DSS, и нажаловаться им. После такого исправляют быстро.
              0
              Знаете, не скажу за все коммерческие организации, но большинство к вещам типа утечки личной инфы относятся излишне спокойно. Вот если уязвимость с возможностью кражи денег — тогда ой. А подсмотреть адрес, почту, номер мобильного — никто по этому поводу особо не парится.

              Из личного опыта — нашел на mail.ru баг с возможностью в некоторых случаях видеть email для сброса пароля. Даже писать им не стал. В песочницу на ГТ пост разместил — может там прочитают :)
                0
                А не хотели в их Bug Bounty принять участие? https://hackerone.com/mailru
                  0
                  Наверное, поздно уже. Но попробую, спасибо
                    0
                    Попробовал, засабмитил баг.
                    Ответили обыкновенно;
                    We do not see direct security risks here and consider this behavior as acceptable.

                    Но я все равно остаюсь при своем мнении. Неужели так сложно в маску звездочек напихать? ad@mail.ru гораздо менее секьюрно, чем ad*****@mail.ru…
                  0
                  Можно ссылку на этот пост? :)
                0
                Хм… я открыл одну из ссылок наугад, требуется регистрация. То есть нужно хоть что-то оплатить чтобы далее смотреть. А это значит, что потенциально они будут знать, кто и что просматривал.
                Кстати, надпись
                © Сервіс грошових переказів Pay2You

                намекает, что они используют сторонний сервис.
                  0
                  Регистрация там простая — e-mail-а достаточно. А тот сервис, что вы указали, встраивается только для p2p-переводов, он не имеет отношения к описанной мной ситуации, это отдельная компания.
                  +1
                  в очередной раз убеждаюсь, что все современные банковские системы — решето. к сожалению.
                    0
                    По клику, например, на https ://pay.ptclick.com.ua/ru/biller/receipt/ 1199011, открывается 404 страница. Пофиксили?..
                      0
                      Возможно, переделали чуть-чуть. Надо ковырять java скрипт по кнопке «проверить платёж». последний номер платежа 1257244.
                      P.S. я не платил ничего :)
                      0
                      Я еще год назад о уязвимостях отписывал и о багах в аппе, реакция 0. После этого мне проще было закрыть счета и обслуживаться в другом банке. Еще было куча баг в работе с платежными сервисами — деньги со счета уходили и не доходили до адресата, а возврат в течении месяца.
                        0
                        Позже, укоротив ссылки через bit.ly (позволяет видеть, сколько человек кликнут по ним), я указал, где именно проблема. На сегодняшний день по каждой из ссылок было около 6-7 переходов.

                        По каждой из укороченной, как я понял. Не думаю, что это были переходы специалистов по безопаности — было бы странно, если бы безопасники кликали по укороченным ссылкам, полученным от незнакомца. Они, скорее всего, «разрезолвили» эти линки, и перешли напрямую.
                        Хотя, принимая во внимание саму статью, никогда не знаешь, чего от них ждать
                          0
                          было бы странно, если бы безопасники кликали по укороченным ссылкам, полученным от незнакомца

                          Вы изобрели прекрасный способ тестирования профпригодности безопасников! Посылаешь им укороченную ссылку со счетчиком. И на странице, куда она ведет — тоже счетчик. А потом сравниваешь показания и смотришь — кто кликнул на коротком адресе, не думая о последствиях :)
                            0
                            Cаму идею я увидел, кажется, тут: https://habrahabr.ru/post/305706/

                            А вообще многие сокращатели ссылок имеют такую интересную особенность, что даже без нажатия на полученную ссылку можно понять, куда она ведёт — например, в конце ссылки на bit.ly нужно добавить "+", чтобы она приняла вид https://bitly.com/google+ — и откроется статистика переходов. Попробуйте)

                            Не знаю, знают ли об этом безопасники:)
                              0

                              А я такие ссылки спокойно в анонимной вкладке открываю

                            Only users with full accounts can post comments. Log in, please.