- 23, May 2014
- #1
Найдена существенная уязвимость на QIWI терминалах оплаты через КИВИ кошелёк, по сути: Взлом qiwi кошелька! Всё началось сегодня с того, что мне нужно было пополнить киви-кошелёк и потом через Интернет оплатить с него за хостинг.
Я как честный гражданин, без злых умыслов – подошёл к терминалу КИВИ, выбрал КОШЕЛЁК, ввёл номер своей мобилы и пароль.
Пополнил счёт наличными, нажал выход и вышел из системы оплаты.
Но, я, обычно всегда забираю чек – и это самое главное, и вы сейчас поймёте почему это ОБЯЗАТЕЛЬНО НУЖНО ДЕЛАТЬ! (Ни в коем случае не выкидывать на месте, возле терминала)Что было дальше… Обычно, я обезапашиваю себя.
Когда выхожу из “КИВИ Кошелька”, потом снова нажимаю на него и ввожу несуществующий номер мобильного, например: 89272326462 – захожу без пароля (естейственно, как и должно быть – ведь пароль только на зарегистрированных кошельках) пусто и нажимаю выход: как бы сессию и куки терминала на новые, т.е. последние сессии – будут уже удалены – это так, на всякий случай делаю! (Вдруг что… или вас пасут кибер-гопники…)Всё. Я всё оплатил, вышел из системы.
И подстраховался “левым” номером даже.
Вижу, на автомате (на КИВИ терминале – валяется чек см.фото) Чек тот же – от оплаты через КИВИ Кошелёк (как и у меня). Блин, дай думаю попробую: нажимаю QIWI Walet (Оплата через мобильный кошелёк) и ввожу, номер в поле с найденого чека: 89272326462 и Опппа!!!!! Захожу в кошелёк без пароля, некого: Фаттахова Айнака Каилевича – справа красуется надпись: На вашем балансе 18,23 копейки!!! Глазам своим не верю.
И окошечко: Ваши последние оплаты, номер: 89272326462! Справа иконка со знаком “+” и написано – добавить номер для оплаты! ВВожу свой: XXXXXX Оплатить: Да? Нет? Введите сумму: Пишу 18 рублей! Выполнено! Бряк: SMS Баланс вашего номера пополнен на 18 рубл.
QIWI Walet! Вот это номер! Подумал я! В цирке такого не видел! Бля, иду на другой терминал, с утра – ищу в мусорке чеки от QIWI Кошелька! Нахожу ещё и ещё! (Длинный такой чек – не путайте с чеком на обычное пополнение номера!) Ввожу номер с чека – точно также через QIWI Walet (Оплата через Мобильный кошелёк): 89031252538! Захожу без пароля – На вашем счету: 0,18 копеек написано справа вверху! Эх, не повезло! Жесть ваще парни!
PS: Получается, что если Клиент один раз: за время хранения сессии или(и) кукиз авторизовался до вас (в этот день) вы сразу после него тут же можете зайти к нему в Кабинет по его номеру без пароля – сразу после его ухода! Это пипец! Причём, когда что-то оплачиваешь именно с терминала – SMS подтверждения не требуется – оплата происходит мгновенно! Это офигеть ДЫРА!!!!!! Вот это фича! Т.е. вход на QIWI без пароля, а кнопка ВЫХОД – это лишь фикция типа редиректа на морду терминала! (Эту “фикцию выхода” слышно иногда по характерным двум щелчкам – как из браузера javascript:History.Back(); типа)
Я как честный гражданин, без злых умыслов – подошёл к терминалу КИВИ, выбрал КОШЕЛЁК, ввёл номер своей мобилы и пароль.
Пополнил счёт наличными, нажал выход и вышел из системы оплаты.
Но, я, обычно всегда забираю чек – и это самое главное, и вы сейчас поймёте почему это ОБЯЗАТЕЛЬНО НУЖНО ДЕЛАТЬ! (Ни в коем случае не выкидывать на месте, возле терминала)Что было дальше… Обычно, я обезапашиваю себя.
Когда выхожу из “КИВИ Кошелька”, потом снова нажимаю на него и ввожу несуществующий номер мобильного, например: 89272326462 – захожу без пароля (естейственно, как и должно быть – ведь пароль только на зарегистрированных кошельках) пусто и нажимаю выход: как бы сессию и куки терминала на новые, т.е. последние сессии – будут уже удалены – это так, на всякий случай делаю! (Вдруг что… или вас пасут кибер-гопники…)Всё. Я всё оплатил, вышел из системы.
И подстраховался “левым” номером даже.
Вижу, на автомате (на КИВИ терминале – валяется чек см.фото) Чек тот же – от оплаты через КИВИ Кошелёк (как и у меня). Блин, дай думаю попробую: нажимаю QIWI Walet (Оплата через мобильный кошелёк) и ввожу, номер в поле с найденого чека: 89272326462 и Опппа!!!!! Захожу в кошелёк без пароля, некого: Фаттахова Айнака Каилевича – справа красуется надпись: На вашем балансе 18,23 копейки!!! Глазам своим не верю.
И окошечко: Ваши последние оплаты, номер: 89272326462! Справа иконка со знаком “+” и написано – добавить номер для оплаты! ВВожу свой: XXXXXX Оплатить: Да? Нет? Введите сумму: Пишу 18 рублей! Выполнено! Бряк: SMS Баланс вашего номера пополнен на 18 рубл.
QIWI Walet! Вот это номер! Подумал я! В цирке такого не видел! Бля, иду на другой терминал, с утра – ищу в мусорке чеки от QIWI Кошелька! Нахожу ещё и ещё! (Длинный такой чек – не путайте с чеком на обычное пополнение номера!) Ввожу номер с чека – точно также через QIWI Walet (Оплата через Мобильный кошелёк): 89031252538! Захожу без пароля – На вашем счету: 0,18 копеек написано справа вверху! Эх, не повезло! Жесть ваще парни!
PS: Получается, что если Клиент один раз: за время хранения сессии или(и) кукиз авторизовался до вас (в этот день) вы сразу после него тут же можете зайти к нему в Кабинет по его номеру без пароля – сразу после его ухода! Это пипец! Причём, когда что-то оплачиваешь именно с терминала – SMS подтверждения не требуется – оплата происходит мгновенно! Это офигеть ДЫРА!!!!!! Вот это фича! Т.е. вход на QIWI без пароля, а кнопка ВЫХОД – это лишь фикция типа редиректа на морду терминала! (Эту “фикцию выхода” слышно иногда по характерным двум щелчкам – как из браузера javascript:History.Back(); типа)