曾几何时,我梦想成为一名信息安全专家,并努力地在各种网站上四处寻找漏洞。我最大的胜利是在QIWI支付系统中发现了一个漏洞,优秀的开发人员为此给了我200美元。结果,发现的问题仅在投诉后3.5年就解决了,此后便有可能将其告知宇宙。有趣的是,我完全是偶然发现了此漏洞,而您很可能就在我的位置。
早在2015年,我就使用QIWI虚拟借记卡从速卖通订购了我的妹妹nishtyaki。该系统很简单:您的QIWI帐户中有一些钱,您单击“发出虚拟卡”按钮,然后在Internet上接收付款信息。您会以一种棘手的方式获得它:您可以在Web界面中看到某些信息(卡号的前4位和后4位,有效期),但最有趣的是通过SMS收到的信息(卡号的8位中位数,CVV2)。一旦出现问题:卡号的前4位和后4位仍然显示在Web界面中,然后突然开始通过SMS到达。显然,其余8个数字必须通过心灵感应来计算。
我是一个简单的人:我看到一个问题-我向技术支持投诉。我很快收到一个答案:“这是一个暂时性错误,专家正在处理这种情况的解决方案。我们对造成的任何不便表示歉意。”好的!
几天后,一切正常,但与以前不同。卡号的前4位和后4位仍然发送到SMS,站点现在显示中8位。
请稍等,我想如果遇到安全问题怎么办?就像来自大城市的任何人一样,我一生中看到过各种各样的检查。它们通常指示卡号的后4位,这意味着这些数据不是秘密。在您输入并保存银行卡详细信息的网站上也经常看到它们。几次我看到收银员的收据,其中还显示了前4位数字。查看我家人的银行卡,我发现它们都有相同的前缀。然后,马马虎虎的秘密。因此,较早的机密数据是通过SMS传来的,该站点显示了公共数据,但是现在一切都相反了!
我坐在电脑前,向漏洞搜索程序写了详细的错误报告。,一路搜索有关银行卡号的各种有趣的信息。我的主要思想是:“一切都很好,但是一切都变糟了。” 9个月后,他们为此花了我钱,又过了2.5年,他们纠正了错误并允许透露故事。您能做什么,有时您需要能够等待!在下一次迭代中,QIWI应用了一个不同的概念,在我看来,这更方便和安全:要查看站点上的所有详细信息,您需要在其上输入SMS的确认码。
亲爱的朋友,包括您在内,任何人都可能注意到并抱怨此错误。如您所见,这不需要任何特定的信息安全知识,甚至不需要专门研究问题,一切几乎都是发生的。
小心翼翼,向开发人员抱怨漏洞和错误,每个人都会好起来的!
原件于19/03/23发表在我的博客中。
我如何在QIWI中发现一个漏洞并获得了200美元
All Articles