Главная>>Новости и события > В платежной системе QIWI найдена уязвимость, позволяющая получить личные данные пользователей
 

В платежной системе QIWI найдена уязвимость, позволяющая получить личные данные пользователей

21 июля 2015
 

Сегодня на сайте habrahabr.ru была опубликована информация о наличии уязвимости в платежной системе QIWI. Пользователь под ником ethoz изложил подробности использования этой бреши, которая позволяет получить доступ к платежам всех пользователей сервиса.

Незащищенность системы заключается в недостаточной рандомизации идентификатора счета, по которому осуществляется доступ. Уязвимая ссылка выглядит таким образом: https://w.qiwi.com/order/external/main.action?order=524928171&phone=12345, где параметр order является порядковым номером счета в БД. То есть удаленный пользователь может путем изменения параметра order просмотреть все счета, существующие в системе. Также кроме информации о назначении платежа и суммы, можно получить контактный номер телефона, на который была зарегистрирована учетная запись.

Как заявляет автор публикации, данную уязвимость он нашел еще 6 месяцев назад, но за это время ее так и не исправили.

Источник: news.stfw.ru
Изображение: news.stfw.ru

Частичное или полное копирование данной статьи разрешено только при наличии прямой ссылки на Shoppingzone.ru


Раздел:Новости и события
/
рейтинг: 0 / оценить новость: