ذات مرة ، كنت أحلم بأن أصبح متخصصًا في أمن المعلومات وأبحث بجدية حول مواقع الويب المختلفة بحثًا عن نقاط الضعف. كان أكبر انتصار لي هو العثور على ثغرة أمنية في نظام الدفع QIWI ، حيث منحني المطورون الجيدون 200 دولار. نتيجة لذلك ، تم حل المشكلة المكتشفة بعد 3.5 سنة فقط من الشكوى ، وبعد ذلك أصبح من الممكن إخبار الكون عنها. الشيء المضحك هو أنني اكتشفت هذه الثغرة بالصدفة تمامًا ، ويمكن أن تكون مكاني بسهولة.
في عام 2015 ، استخدمت بطاقات الخصم الافتراضية QIWI لطلب سلع أختي الصغيرة من AliExpress. كان النظام بسيطًا: لديك مبلغ من المال في حساب QIWI الخاص بك ، وتضغط على الزر "إصدار بطاقة افتراضية" وتتلقى معلومات عن المدفوعات على الإنترنت. يمكنك الحصول عليها بطريقة ذكية: شيء ما مرئي في واجهة الويب (أول وآخر 4 أرقام من رقم البطاقة ، تاريخ انتهاء الصلاحية) ، ولكن الشيء الأكثر إثارة للاهتمام يأتي إليك عبر الرسائل القصيرة (8 أرقام وسطى من رقم البطاقة ، CVV2). بمجرد حدوث خطأ ما: لا يزال يتم عرض أول وآخر 4 أرقام من رقم البطاقة في واجهة الويب ، وبدأوا فجأة في الوصول عبر الرسائل القصيرة. على ما يبدو ، كان لابد من معرفة الأرقام الثمانية المتبقية تواردًا.
أنا شخص بسيط: أرى مشكلة - أشتكي إلى الدعم الفني. بسرعة كبيرة تلقيت إجابة: "هذا خطأ مؤقت ، الخبراء يتعاملون مع حل هذا الوضع. ونحن نعتذر عن أي إزعاج." حسنا!
بعد يومين ، كل شيء يعمل ، ولكن ليس بنفس الطريقة كما كان من قبل. لا يزال يتم إرسال أول وآخر 4 أرقام من رقم البطاقة إلى الرسائل القصيرة ، ويعرض الموقع الآن الأرقام الثمانية الوسطى.
انتظر لحظة ، ماذا لو كانت هناك مشكلة أمنية على ما أعتقد؟ مثل أي شخص من مدينة كبيرة ، رأيت كل أنواع الشيكات في حياتي. تشير عادةً إلى آخر 4 أرقام من رقم البطاقة ، مما يعني أن هذه البيانات ليست سرية. وغالبًا ما يتم عرضها أيضًا على المواقع التي تقوم فيها بإدخال تفاصيل بطاقتك وحفظها. رأيت عدة مرات إيصالات أمين الصندوق ، حيث تمت الإشارة أيضًا إلى أول 4 أرقام. بالنظر إلى البطاقات المصرفية لعائلتي ، وجدت أنهم جميعًا لديهم نفس البادئة. أيضا سرية جدا ، إذن. لذلك ، جاءت البيانات السرية السابقة عبر الرسائل القصيرة ، وعرض الموقع البيانات العامة ، ولكن الآن أصبح كل شيء في الاتجاه المعاكس!
جلست على الكمبيوتر وكتبت تقرير خطأ مفصل لبرنامج البحث عن الثغرات الأمنية، على طول الطريق عبر Google عن جميع أنواع الأشياء المثيرة للاهتمام حول أرقام البطاقات المصرفية. كان فكرتي الرئيسية: "كل شيء كان جيدًا ، لكنه أصبح سيئًا". بعد 9 أشهر ، أعطوني المال مقابل ذلك ، وبعد 2.5 سنة أخرى أصلحوا الخطأ وسمحوا بالكشف عن القصة. ماذا يمكنك أن تفعل ، في بعض الأحيان تحتاج إلى أن تكون قادرًا على الانتظار! في التكرار التالي ، طبق QIWI مفهومًا مختلفًا ، والذي يبدو لي أكثر ملاءمة وأمانًا: لمشاهدة جميع التفاصيل على الموقع ، تحتاج إلى إدخال رمز التأكيد من الرسائل القصيرة الموجودة عليه.
يمكن لأي شخص أن يلاحظ هذا الخطأ ويشكو منه ، بما في ذلك أنت ، صديقي العزيز. كما ترى ، لم يتطلب هذا أي معرفة محددة بأمن المعلومات وحتى البحث الخاص عن المشكلة ، كل شيء حدث من تلقاء نفسه تقريبًا.
كن قططًا ، واشتكى للمطورين من نقاط الضعف والأخطاء ، وسيكون الجميع بخير!
تم نشر النص الأصلي في مدونتي بتاريخ 23/03/19.
كيف وجدت ثغرة أمنية في QIWI وحصلت على 200 دولار
All Articles