Pull to refresh
103
0

Тестировщик платежных сервисов

Send message
В посте комментарий с ссылкой на чек натолкнул меня на мысли, что по некоторым реквизитам можно перебирать и получать чеки даже без авторизации на ОФД-порталах.

На 06.08.2017 из 12 ОФД публичный API для проверки кассовых чеков есть у 9 (отсюда):
Первый ОФД (Ашан, Виктория, Пятёрочка, BILLA, Магнит)
Платформа ОФД (Дикси, Крошка-картошка)
Такском (Карусель, KFC)
OFD.RU (Связной) — потребуется ручной ввод РН ККТ и ИНН с чека
ОФД-Я (Перекрёсток) — потребуется ручной ввод РН ККТ с чека (ИНН необязателен)
Астрал ОФД
ОФД Яндекс
СБИС
КОРУС ОФД

Думаю, перебор и получение персональных данных чеков/клиентов всё же возможны, но нахожусь в Украине и не могу проверить это, так как попросту не имею чеков.
Приват в Украине предлагает, если я правильно помню, 5 самых популярных снятий. Но да, та же сумма, что и в прошлый раз — это хорошо.
А если совместить указанную ситуацию с тем, как легко иногда получить список пассажиров крупнейшего авиаперевозчика (в данном случае украинского)…
… а на checkmytrip.com немного поменялась процедура, теперь им нужно отправлять подтверждение бронирования на e-mail.
Tickets.ua пишет, что для проверки статусов билетов есть следующий сайты:
www.checkmytrip.com — для авиабилетов, забронированных через Amadeus;
www.viewtrip.com — для авиабилетов, забронированных через Galileo;
www.virtuallythere.com — для авиабилетов, забронированных через Sabre;
www.myairlines.ru — для авиабилетов, забронированных через Сирену.
zhovner подробно про уязвимости Skype и его поддержку писал: Как Skype уязвимости чинил
Узнал про Privacy в первой половине 2016-го, идея хорошая, тем же Qiwi и Яндекс.Деньги можно было бы это своим клиентам правильно преподнести. А вот Shazam назвать стартапом язык не поворачивается)
Собственно, да. Вот это я и имел в виду (если, конечно, чат у компании действительно заработал). Спасибо за пример!
Согласен, тут недавно была статья про такое (https://habrahabr.ru/post/345772/).
Но для некоторых общение в чате удобнее: автору в обычной жизни, мне — в рабочее время.
«Живых» статей оказалась только половина от потенциального максимума — 166307 штук. Про остальные Хабр даёт варианты «страница устарела, была удалена или не существовала вовсе». Что ж, всякое бывает.

Где-то видел комментарий, что такая нумерация статей (грубо говоря, через одну) сделана намеренно.
Полезная статья, спасибо.
ibakaidov, давно хочу (но никак не возьмусь) написать статью о том, как важно наличие на сайтах чатов — взять Ваш же пример про Yota. Или то же общение с банковской поддержкой.
Не хотите взяться за это? Мне кажется, такое живое описание примеров, как здесь, будет интересно читать, и, при должной подаче, может даже принести свои плоды)
Спасибо за такой широкий жест. Не стану отключать, так как понимаю, что вам нужно зарабатывать. AdBlock на сайтах ТМ тоже отключён. Но спасибо за возможность!
К сожалению или счастью, нет, не она. Эта бы точно пригрозила бы:)
Согласен, во многих сервисах можно найти ошибки и уязвимости, нужно лишь время и желание.
Да, бывает и такое) Но тут ребята, кстати, всё равно молодцы — на моё первое письмо они сами попросили номер карты, чтобы отблагодарить.
Я на днях нашёл XSS на одном билетном сайте с ~200 000 зарегистрированных пользователей — получил 500 грн. (~18 долл.). Заметно отличается подход наших и иностранных компаний, пусть последние и работают с финансами:)
Я и не говорил, что «спасибо, но нам не интересно» — это правильный ответ. Я сказал, что получив шаблонный ответ от поддержки в пятницу-субботу, не стоит сразу раскрывать детали проблемы. И в статье, которую я привёл в пример, указано, что я пытался доказать значимость аналогичной проблемы несколько раз.
И чем ваш ответ отличается от моего?
Я же и пишу, что принимать слова саппорта от том, что уязвимости нет, нельзя — нужно, чтобы вопрос был передан ответственным людям.
Автор поспешил с публикацией? Поспешил. Нужно было пробовать достучаться дальше? Нужно было.
И не кричите, пожалуйста.
Автор действительно очень поспешил. Получив шаблонный ответ от поддержки в пятницу-субботу, не стоит сразу раскрывать детали проблемы.
Конечно, ждать так долго, как ждал я (с мая по август — очень похожая ситуация, кстати: Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона) тоже не дело, но один день? Один ответ поддержки? Не разработчиков, не службы безопасности, а просто получив ответ(ы) от службы поддержки?

Information

Rating
Does not participate
Registered
Activity