Уязвимость в QIWI раскрывает личные данные клиентов

21/07/2015
Уязвимость в QIWI раскрывает личные данные клиентов

Как оказалось, все счета пользователей QIWI находятся фактически в открытом доступе. Сегодня на сайте habrahabr.ru была опубликована статья о наличии бреши в системе безопасности платежной компании QIWI. Пользователь с ником ethoz подробно описал все подробности использования бреши, которая позволяет получить доступ к платежам всех клиентов сервиса.

Уязвимость лежит в неполной рандомизации идентификатора счета, к которому осуществляется доступ. Уязвимая ссылка выглядит вот так:

https://w.qiwi.com/order/external/main.action?order=524928171&phone=12345,

где параметр order - это порядковый номер счета в базе данных. Сторонний пользователь может методом изменения параметра order просмотреть все счета, которые существуют в системе. Кроме данных о типе платежа и сумме можно также «вытащить» номер телефона, указанный при регистрации учетной записи.

Автор публикации сообщает, что указал администрации QIWI на брешь еще полгода назад, но до сих пор этот момент не был устранен.


Источник: «Security Lab»

Комментарии
Добавить комментарий

Яндекс.Метрика