Как я «взломал» Qiwi без знаний программирования

[onegreyonewhite]

А два примера кода это абсолютно не программирование. Хотя после того как вы выложили, то уже конечно ничего знать не нужно и мамкины хацкеры сейчас полезут наводить шороху.
Но само описание уязвимости очень интересное тем, что банки или хранители карточных данных, которые вроде как должны понимать как это всё вычисляется (потому что писали парсер-валидатор карты или посмотрели код используемой библиотеки), с упорством барана показывают эти данные всем кому не лень.

[AddRaiser]

При желании можно и онлайн проверить все, даже без кода.
А код я из Википедии взял, тоже несложно добыть :)

[Brother79Mail]

встречал я таких работяг, которые без навыка программирования используют найденый код, и спрашивают почему не работает. особенно помню одного, который интернет магазин пишет типа на битриксе. сначала меня это забавляло, но потом уже прилично напрягало. пытаешься объяснить, я ты мол хотябы отследи скобки в выражении, а он вместо этого гуглит очередные куски кода, даже на уровне парных скобок не вникая, не говоря уже об операторах. типа там написанно вставь это и заработает

[AddRaiser]

Ну такие ребята и не опасны, так как даже готовое решение сумеют испоганить :)

[moonz]

У киви есть замечательная API с помощью которой можно вывести хоть 100к, достаточно только один раз код из смс ввести для получения токена. Ну это уже дело техники ;) некоторые профи социальной инженерии делают это весьма эффективно))

[armid]

Достаточно специфическая уязвимость. Во первых нужно знать логин и пароль. А во вторых, разве владельцу не будут приходить куча смс о пополнении карт на 1 руб. Что может показаться очень странным.

[AddRaiser]

Кажется вы не до конца поняли
Владельцу придёт всего 1 смс, мы же перебираем кучу карт, а нужная карта всего 1
Думаю вас бы не напрягло получение 1р на счёт.
А знание логина: пароля не является чем-то уж очень редким. Просто обычно двухфакторка защищает от вывода денег.

[dvmedvedev]

Читал статью о том, как можно заблокировать любой qiwi-кошелек. Нужно всего лишь слать на него по рублю с разными подписями. Говорят, достаточно ста рублей, и антифрод система блокирует кошелек вплоть до того, что активировать его больше нельзя.

[SagePtr]

Мне 15 лет назад на Qiwi кошель блокнули тупо из-за того, что трижды неправильно ввёл пароль. Затребовали отсканированную копию договора с мобильным оператором, послал их подальше и больше не пользовался услугами Qiwi и не горю желанием когда-либо иметь с ними дело (благо, на кошельке этом было только около 200 рублей, которые явно не стоили гемора).

[Buharovsky]

У меня ребенок по 5-10 рублей переводил во всякие онлайн игры. В результате Киви заблокировали его кошелёк. Правды так и не добились. Он ходил в банк подтверждать личность, присылал им фото своё и паспорта, и тд и тп. Потеряли полторы тысячи. Больше я не общаюсь с банками у которых нет физического офиса.

[Amistad]

Окуеть. Киви пропускал 1000 мошеннических операций.
А у меня эти муд рые люди заблокировали счет лишь за десяток смен IP адресов (я пользуюсь Opera VPN и Opera Turbo). Я не финансировал ИГИЛ, и Авального, лишь покупки на Али. У меня был абсолютно легальный анонимный базовый статус без верификации.
А теперь qiwi ТРЕБУЮТ сделать полную верификацию и предоставить:
– Договор с сотовым оператором
– Фото с паспортом в руках
– Экономическое обоснование операций
И через месяц они начнут списывать 0,5% в день от МОИХ 1200.

[moonz]

А теперь qiwi ТРЕБУЮТ сделать полную верификацию и предоставить:

Это не киви, это ЦБ обязал всех, добро пожаловать в РФ.

[Amistad]

Это было за месяц до приказа цб.

[lyrjie]

Еще не факт, что они пропускали — статья носит теоретический характер, как я понял.
Сложно представить, что тысяча операций по рублю на весьма узкий диапозон номеров не вызовет подозрений

[AddRaiser]

Не теоретический, был проверен на кошельке друга, интересно же :)
И Киви не особо запарился насчет такого кол-ва операций

[mikserok]

Это наступила расплата за пользование бесплатного впна. До тебя с оперы турбо орды школотроников отмыли много ворованых денег через киви. Так что вполне предсказумая блокировка антифрода.