
Комментарии 19
Вспомнилось.
Лет 12 назад я возвращался из Питера в Москву, рейс задержали часов на 5, и от нечего делать решил пошариться по стоящему в зале ожидания терминалу (вроде это был Киберплат, но точно не помню). Помимо оплаты сотовых операторов, там была и оплата домашнего интернета всяких провайдеров. Где-то был числовой номер лицевого счета, а где-то и ввод буквенного логина. В последнем случае открывалась полноценная виртуальная клавиатура, которая, хоть и была явно кастомной, зачем-то имела все спецсимволы типа кавычек и угловых скобок, а на следующем экране выводился введенный логин, и выглядело это все как HTML-ный rich text. В общем, банальный XSS вида <a href=file://C:/> прокатил, и я в итоге как раз развлекался раскладыванием XP-шной косынки. :)
Главную свою задачу — отмыв бабок, эти терминалы выполняют. На все остальное всем заинтересованным сторонам вообще побоку.
Был бы я на твоем месте, я бы посоветовался с знающими людьми, что делать в такой ситуации. У QIWI существует программа по поиску ошибок, на HackerOne. Ты мог отправить отчет, и получить благодарность от компании тем самым повысив свою репутацию.
Тем самым ты поднял репутацию, получил «bounty» и все остались довольны.
Статья интересная, но нужно было довести дело и не показать что сотрудник «останется без работы».
P.S. Если это реальный терминал QIWI
Вроде Киви в своей программе вознаграждения за баги предлагает бонус за выявление технических уязвимостей. Человеческий фактор в виде сотрудника, выложившего коды доступа, эта программа не покрывает.
Мне интересно в qiwi вообще есть хоть какое-то подобие СБ
Есть. Но они сейчас заняты переустановкой windows.
Не знаю насчёт Киви, но как-то раз пришли с товарищем в KFC и увидели нерабочий терминал с торчащей сбоку экранной клавой от семёрки. Аккорд Win+R и C: в качестве пути обнажили обычную инсталляцию седьмой винды… и красующиеся рядом папочки "AutoKMS" и "Activators" :-)
Ну, например, можно, наверное, написать скрипт, который при подтверждении ввода номера телефона заменяет номер телефона на номер телефона злоумышленника (точнее дропа, разумеется). Там же html интерфейс, модификация должна быть не так сложна. Понятное дело, у самого киви денег не украдешь, но у пользователей терминала - вполне.
владеют агенты, а QIWI только разрабатывает платежное ПО, но не обслуживает терминалы.
Тем не менее мы донесём информацию и проведём работу с агентами.
Мы открыты для сбора интересных уязвимостей. В QIWI есть публичная программа bug bounty, где можно получить денежное вознаграждение за найденную уязвимость. Пожалуйста, продублируйте данную ошибку туда. Мы готовы принять данный баг.
Наша аналитика атак говорит о том, что обычно, получив доступ к терминалу, злоумышленника в первую очередь интересует несанкционированный перевод денег, данный риск закрывается встроенной безопасностью платежного ПО. Но мы обязательно посмотрим в сторону дополнительных рекомендаций по безопасности для агентов.
Интересно.
И невесело, конечно, что кто-то до сих пор бегает к этим терминалам закинуть тысячную, чтобы тут же слить её в азартные игры.
Контекст не соответствует заголовку и выводам. Я уж было подумал,что действительно нашли уязвимость терминалов, а по факту обыкновенный человеческий фактор. Так можно заявить и об уязвимости Windows Server, SQL баз данных, да вообще чего угодно. Статье не зачёт
Безопасность терминалов Qiwi…