Pull to refresh
103
0

Тестировщик платежных сервисов

Уязвимости ритейлеров — три случая, когда OTP можно было получить в запросе

Reading time 4 min
Views 8.3K
При входе в личные кабинеты различных сервисов, в целях безопасности, часто используется 2FA — помимо логина и пароля, нужно ввести одноразовый код.

Но, как оказалось, не всё так безопасно даже с двухфакторной аутентификацией — за последний год я нашёл три (!) сервиса, когда одноразовый код для входа, который отправляется клиенту в SMS, можно было посмотреть в самом запросе.

Далее кратко о том, чем это грозило, на конкретных примерах.

1. Популярная сеть АЗС, более 500 000 зарегистрированных клиентов.

Запрос при входе в веб-версию личного кабинета:
POST https://someazs.ua/ua/profile/auth/
Accept: application/json, text/javascript, */*; q=0.01
Accept-Encoding: gzip, deflate, br
Accept-Language: ru,en-US;q=0.9,en;q=0.8,uk;q=0.7
Connection: keep-alive
Content-Length: 408
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Cookie: PHPSESSID=6n3l2o90hfb020u9ag020u8ha1; usersomeazs_popupcoupons=1;...
Host: someazs.ua
Origin: https://someazs.ua
Referer: https://someazs.ua/ua/login/
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36
X-Compress: null
X-Requested-With: XMLHttpRequest

data[phone_mask]: 951234567
data[phone]: 0951234567




Ответ: {"Status":0,"Code":"7038","status":true,"step2":true}

Код из SMS — 7038 — виден просто в ответе сервера.
Читать дальше →
Total votes 32: ↑32 and ↓0 +32
Comments 16

Как ездить на такси за чужой счёт — уязвимости на примере одного сервиса

Reading time 6 min
Views 36K
После нахождения уязвимостей в мобайл-банкинге украинского банка (пост) я захотел немного сменить направление и перейти от финансовых сервисов к другим.

На глаза попалась рекламная статья про обновлённое мобильное приложение такси, его я и выбрал своим подопытным.

Здесь инструменты те же: ПК, Fiddler, Android-смартфон – устанавливаем приложение и отслеживаем его запросы.

Я специально не рассматривал запросы и ответы при регистрации или логине (например, не стал проверять возможность перебора пароля), а перешёл к функциям, доступным после регистрации.

Так как у меня не было истории поездок с помощью данного сервиса, а проводить реальную поездку для тестирования мне не хотелось, мне нужны были данные кого-либо ещё из клиентов. Я решил спросить знакомых на наличие аккаунта в сервисе. Среди знакомых нашлись клиенты этого такси, но вызывали они его по-старинке – с помощью звонка.

Тогда я начал искать номера телефонов среди общедоступной в интернете информации – например, на официальном сайте и среди отзывов в соцсетях (зачастую недовольные клиенты, описывая жалобы, вместо отправки компании в личку своих контактов оставляют их в комментариях на всеобщее обозрение). В итоге я нашёл пару телефонов на одном из сайтов по поиску работы. Один из них я подставил в последующие запросы и получил информацию, которая не должна была быть доступна кому-либо извне.


Читать дальше →
Total votes 96: ↑96 and ↓0 +96
Comments 22

Получение информации и обход двухфакторной аутентификации по картам банка из ТОП-10 (Украина)

Reading time 6 min
Views 21K
В прошлом году украинский банк из ТОП-10 пригласил меня протестировать свои системы интернет- и мобильного банкинга на предмет уязвимостей.

Первым делом я решил начать с отслеживания запросов мобильного приложения. С помощью Fiddler (Burp или Charles) я начал рассматривать каждый запрос приложения, выполняя по очереди все доступные в своём аккаунте операции. Мобильный банкинг не был защищён SSL-pinning, поэтому это не составило особого труда.

В GET и POST-запросах я пытался подменять параметры, чтобы получить искомое, но достаточно долго мне это не удавалось – я получал ошибки вида «Доступ запрещён». Однако я таки нашёл нужные мне запросы.

Например:
Читать дальше →
Total votes 32: ↑30 and ↓2 +28
Comments 20

Уязвимости Киевстара: 1) разбор предыдущего поста про пароли + 2) инфо о покупках, проходящих через сервисы Киевстара

Reading time 7 min
Views 33K
Привет. Я тот, кто полгода назад получил логины и пароли Киевстара от таких важных сервисов, как: JIRA, Amazon Web Services, Apple Developer, Google Developer, Bitbucket и многих других, зарепортил их по Bug Bounty и получил 50 долларов различные комментарии к репостам моей публикации.

Например:


Спасибо вам за поддержку и комментарии! Итоги голосования:


Детали о старой и новой ситуации тут
Total votes 65: ↑60 and ↓5 +55
Comments 42

Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов

Reading time 4 min
Views 46K
История о совпадении, везении и вознаграждении.

Два года назад пользователь dinikin написал пост, как он нашёл уязвимость в личном кабинете крупнейшего мобильного оператора Украины — Киевстар. Уязвимость позволяла добавлять к себе в аккаунт без верификации любой номер телефона Киевстар и полностью управлять им:

  • просматривать баланс и детализацию звонков;
  • просматривать PUK-код и серийный номер SIM-карты, что позволяет самостоятельно заменить SIM-карту;
  • добавлять новые услуги и менять тарифный план;
  • и самое главное — переводить деньги с телефона на телефон.

Уязвимость была закрыта, а автору в благодарность выплатили огромную премию подключили 4000 мегабайт интернета на 3 месяца.

Добавляем произвольный телефон в личном кабинете оператора мобильной связи Киевстар (Украина)

Позже хабрапользователь rewiaca в своём посте "Почему в Украине нет белых хакеров или история взлома Киевстар" описал ситуацию со столь щедрой наградой более эмоционально.

В комментариях тогда отметился Виталий Султан, Soultan, Chief Digital Officer Киевстар, пообещав вскоре запустить в компании Bug Bounty.

И вот, спустя почти два года, Киевстар анонсирует запуск собственной программы Bug Bounty. Одной из первых фраз в анонсе была следующая:
В «Киевстаре» отметили, что приняли решение запустить программу после того, как нашли уязвимость во время бета-тестирования обновленной системы «Мой Киевстар».
Как видим, компания лукавит, ведь именно пользователь Habrahabr.ru dinikin нашёл уязвимость в системе «Мой Киевстар».
Впрочем, ближе к делу.
Total votes 83: ↑75 and ↓8 +67
Comments 190

Уязвимости в Ощадбанке: получение ФИО клиента по номеру телефона, перебор номеров карт, проблемы в платёжных терминалах

Reading time 4 min
Views 57K
У меня накопилось несколько найденных проблем в различных сервисах Ощадбанка, одного из крупнейших украинских банков.

Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи

уязвимости Ощадбанка

1. Получение ФИО* клиента по номеру телефона

Ощадбанк добавил новую функцию в свой интернет-банкинг «Ощад 24/7» — перевод с карты на карту по номеру телефона: чтобы перевести средства, необязательно знать номер карты получателя.

Ранее я рассмотрел проблемы в реализации данной функции в другом украинском банке — Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона.

Здесь уязвимость меньше — на самом деле возможно получение не всего ФИО, а только имени и первой буквы фамилии, но это не отменяет того факта, что теперь можно узнать настоящее имя человека, скрывающегося за анонимным номером телефона (в Украине SIM-карты выдаются без привязки к паспорту).

Т.е. если вас интересует, к примеру, имя звонившего вам человека, а поиск в социальных сетях не даёт результатов, или вы сомневаетесь в их валидности (часто в соцсетях указывают выдуманные ФИО), то с помощью Ощадбанка вы можете попробовать узнать его настоящее имя.

Что за поиск в социальных сетях? Его уже описывали много раз, но, думаю, не лишним будет напомнить «фичу»: если нужно узнать ФИО человека, можно попытаться «восстановить» учётные данные в социальных сетях.

Например, можно нажать «Забыли аккаунт?» на Facebook, ввести желаемый номер телефона и, если человек регистрировался с данным телефоном, то доступны будут следующие данные:
Читать дальше →
Total votes 40: ↑40 and ↓0 +40
Comments 18

Как узнать баланс чужой банковской карты, зная её номер?

Reading time 3 min
Views 410K
Мошенники, когда звонят доверчивым владельцам карт и представляются службой безопасности банка, заинтересованным покупателем, сотрудником госорганов или ещё кем-то важным, наверняка выбирают себе жертв, не тратя времени на тех клиентов, у кого мало средств на счету.

Оказывается, узнать баланс чужой карты очень просто.

Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи

image
Читать дальше →
Total votes 58: ↑53 and ↓5 +48
Comments 91

Уязвимость в Альфа-Банк Украина: получение ФИО клиента по номеру телефона

Reading time 3 min
Views 29K
Альфа-Банк Украина входит в ТОП-5 по количеству активных карт среди всех украинских банков и имеет довольно неплохой интернет-банкинг My Alfa-Bank.

У них существует функция перевода средств другому клиенту по номеру телефона: чтобы перевести деньги, достаточно указать номер телефона получателя, нет необходимости указывать номер карты.

Длительное время функция p2p-перевода по номеру телефона действовала при соблюдении определенных условий: если у получателя подтверждён телефон и оформлена зарплатная (именно зарплатная) карта в Альфа-Банке Украина.

Не так давно, в конце марта этого года, банк реализовал p2p переводы по номеру телефона в интернет-банкинге My Alfa-Bank уже для всех клиентов банка, а не только для «зарплатников».

Я решил протестировать функцию на предмет получения данных о клиенте по его номеру телефона.

Ввожу сумму и номер телефона родственника, у которого открыт счёт в Альфа-Банке, нажимаю «Далее».

Читать дальше →
Total votes 46: ↑44 and ↓2 +42
Comments 72

Как другая крупная курьерская компания персональные данные своих клиентов раздавала

Reading time 2 min
Views 7.2K
Давно хотел написать статью, как одна почтовая служба, которой я воспользовался, показывала слишком много данных о посылке и её получателе, но не находил времени и подходящего момента.

А тут на днях на Хабре вышла статья "Как крупная курьерская компания персональные данные своих клиентов раздавала", после выхода которой я понял, что не одинок многие службы страдают этим.

Что ж, опишу свою ситуацию и результаты (пост будет короче, чем указанный выше).

image
(картинка для привлечения внимания. Картинка не относится к описываемому мной сервису)
Читать дальше →
Total votes 20: ↑19 and ↓1 +18
Comments 19

Придумана схема обналичивания денег с кредитных карт через ломбарды

Reading time 2 min
Views 79K
«Сбербанк» взимает за снятие наличных по кредитке 3–4%, «Альфа-Банк» – 3,9–5,9%, «ВТБ 24» – до 5,5%. По операциям для снятия наличных в банкоматах устанавливаются лимиты меньше, чем для безналичных расчётов картой.

Поэтому некоторые клиенты сдают в ломбард дорогой товар, а уже через несколько минут возвращаются, чтобы выкупить залог, рассчитавшись кредитной картой.

Читать дальше →
Total votes 30: ↑27 and ↓3 +24
Comments 155

Американские фермеры взламывают и устанавливают украинскую прошивку на тракторы

Reading time 3 min
Views 74K
В августе 2015-го была опубликована статья "Самостоятельный ремонт трактора John Deere — нарушение закона DMCA", в которой шла речь о том, что владельцам тракторов фирмы John Deere нельзя самостоятельно устранять возникшие неполадки — необходимо ждать приезда техника из компании или везти трактор к официальному дилеру, который может находиться на расстоянии в несколько десятков километров.

Если с деталями трактора что-то не в порядке, то информация отображается на его дисплее. К примеру, у фермера был такой случай: ремни привода потеряли натяг.
Но, к сожалению, пришлось ждать целый день, когда приедет официальный представитель компании. Диагностика того, что вышел из строя всего один сенсор, обошлась владельцу в 120 долларов.



ПО тракторов защищены законом Digital Millennium Copyright Act, и при его нарушении грозит штраф до 500 тысяч долларов США и/или тюремное заключение сроком до пяти лет. Изначально закон был придуман для борьбы с цифровым пиратством и прецедентов с фермерами не было.

В июле 2016-го вышел материал "Фермеры США все еще пытаются добиться права ремонтировать собственные тракторы John Deere", в котором было сказано, что фермеры пытались «продавить» поправки к указанному закону.

Однако, исходя из опубликованного на днях материала Motherboard, становится понятно, что с самостоятельным ремонтом тракторов всё до сих пор не хорошо. Или наоборот, смотря как посмотреть: американские фермеры взламывают и устанавливают украинскую прошивку на тракторы.
Читать дальше →
Total votes 58: ↑54 and ↓4 +50
Comments 341

Уязвимость в платёжном сервисе Платинум Банка (Украина)

Reading time 3 min
Views 14K
Не так давно я решил протестировать очередной банк или платёжную компанию на предмет наличия простой, но от этого не менее популярной уязвимости вида «Возможность просмотра операций других клиентов».

Почему я пишу, что эта уязвимость простая? Потому что украинская электронная платёжная система Portmone.com в прошлом году имела такую ошибку. Как и Фидобанк (пост на Хабрахабр). Впрочем, как и упомянутые там же Qiwi или Тинькофф Банк — примеров множество. А сколько ещё не найдено, не опубликовано…

Итак, с целью разминки мозга мне захотелось проверить кого-то ещё. А в конце августа "Platinum Bank представил новый платежный портал pay.ptclick.com.ua".

Про Платинум Банк с официального сайта:
Platinum Bank – один из крупнейших участников отечественной банковской системы. Относится к І группе банков согласно рейтингу НБУ (на долю Platinum Bank приходится более 0,5% активов банковской системы Украины). Региональная сеть насчитывает 69 отделений и 1080 пунктов продаж в различных регионах Украины…

Также банк активно работает над проектом Digital Bank. В частности, активно развивает платформу pay.ptclick.com.ua и лабораторию финансовых инноваций Platinum Lab.

Вот его я и решил проверить на очевидную уязвимость.

Регистрация на портале pay.ptclick.com.ua предельно проста — e-mail + пароль и поле для капчи.


Читать дальше →
Total votes 30: ↑29 and ↓1 +28
Comments 23

Хакеры украли с помощью бота у четырёх банков миллиард рублей

Reading time 2 min
Views 38K
Спецслужбы раскрыли группу киберпреступников, обманувших "Промсвязьбанк", "Траст", "Уралсиб" и кредитное учреждение "Зенит".

16 человек в Москве организовали киберпреступную группу и занялись мошенничеством в Интернете. Начала группа работать с суммы в миллион рублей, постепенно увеличая сумму. Всего за четыре месяца команда ограбила финансовые учреждения на миллиард рублей. Афера удалась благодаря специальной программе, которую они создали.

image

Читать дальше →
Total votes 35: ↑32 and ↓3 +29
Comments 55

Киберпреступная группа Carbanak связана с российской компанией в сфере безопасности?

Reading time 6 min
Views 13K
Brian Krebs написал у себя в блоге объёмный материал, который показывает интересный взгляд на то, кто и как связан с группой Carbanak, нашумевшей во взломе около 100 финансовых учреждений и похитивших около 1 миллиарда долларов США.

Ниже перевод данной статьи (замечания просьба писать в личные сообщения).


Наиболее известной киберпреступной группой является группа Carbanak. Этих хакеров из Восточной Европы обвиняют в краже более миллиарда долларов из банков. Сегодня мы рассмотрим некоторые убедительные улики, указывающие на связь между Carbanak и российской фирмой по безопасности, претендующей на работу с некоторыми крупнейшими брендами в сфере кибербезопасности.

Группа Carbanak получила свое название от вредоносного банковского программного обеспечения, используемого в бесчисленных кибер-кражах. Данная группа, пожалуй, является самой известной за проникновение в банковские сети с помощью заражённых файлов Microsoft Office, используя затем этот доступ для выдачи наличных банкоматами. По оценкам Лаборатории Касперского, Carbanak-ом, скорее всего, украдено более 1 млрд. долл. США, – но, в основном, из российских банков.

image
Читать дальше →
Total votes 16: ↑15 and ↓1 +14
Comments 9

Очередное крупное мошенничество с использованием платежных карт

Reading time 4 min
Views 71K
В статье ноября 2015-го была описана ситуация с относительно новым видом мошенничества, с помощью которого преступники похищали деньги с банковских счетов: Хакеры изобрели новую схему воровства денег, украв 250 млн. рублей. Как именно происходило мошенничество, кратко:

Преступник получал платёжную карту, пополнял её и тут же снимал внесённые деньги в банкомате, запрашивая чек. Далее данные о транзакциях отправлялись сообщнику, который имел доступ к зараженным POS-терминалам. Через терминалы, по коду операции, формировалась отмена снятия наличных. В результате баланс карты мгновенно восстанавливался и у злоумышленника появлялись «отменённые» деньги на счету. Преступники повторяли эти действия многократно, пока в банкоматах не заканчивалась наличка, модифицируя свою схему после исправления банками ошибки. Тогда было открыто несколько судебных дел в отношении виновных, «денежные мулы» были из Лондона, Украины, Латвии и Литвы.

Однако сейчас появилась новость об очень похожей ситуации, включающая и названия пострадавших компаний. Сумма ущерба на этот раз почти в два раза больше — около полумиллиарда рублей.

image
Читать дальше →
Total votes 24: ↑22 and ↓2 +20
Comments 23

Преступники, заражавшие банкоматы вирусом, пойманы на горячем

Reading time 2 min
Views 37K
В Киеве обезврежена преступная группировка, которая специализировалось на тайном проникновении в сервисные части банкоматов и дальнейшем заражении вредоносным программным кодом операционной системы банкоматов, что приводило к несанкционированной выдаче средств. Украинским банкам был нанесён ущерб в размере более 5 миллионов гривен, а аналогичные случаи заражения банкоматов имели место на территории Львовской и других областей Украины.


Читать дальше →
Total votes 25: ↑22 and ↓3 +19
Comments 40

ПриватБанк начал продавать сойлент

Reading time 3 min
Views 37K
Что такое «ПриватБанк», думаю, объяснять не нужно. Некоторые могут уже знать о том, что такое «сойлент», если читали эту «Сойлент 2.0 — жидкая еда будущего для борьбы с перекусами и фастфудом» или любую другую статью о данном продукте. Но большинство всё же может быть не в курсе, что за продукт такой «сойлент», поэтому я опишу, что это такое и с чем его едят (в прямом и переносном смыслах).

Сойлент (англ. Soylent) — напиток, призванный по замыслу создателя, американского предпринимателя и программиста Роба Райнхарта (Rob Rhinehart), полностью заменить традиционную пищу. Содержит все вещества, необходимые для поддержания жизнедеятельности: углеводы, аминокислоты, белки, жиры, клетчатку, кальций и многое другое. Разработан в 2013 году, с апреля 2014-го поставляется в виде порошка, растворимого в воде. С августа 2015-го также доступна питьевая версия, т.н. «Сойлент 2.0» (да, у этого пищевого продукта существуют версии – его рецепт периодически улучшается и проходит, так сказать, апгрейд).

image
Читать дальше →
Total votes 29: ↑21 and ↓8 +13
Comments 264

Взгляд внутрь кибермошеннических колл-центров

Reading time 3 min
Views 22K
Brian Krebs, автор блога о взломах, хакерах, вирусах и другом, что связано с компьютерной безопасностью, не так давно написал пост о мошеннических колл-центрах. Что интересно, в статье описаны не те колл-центры, которые работают для обмана «своих» жертв, а те, которые работают, обманывая «чужих» клиентов за комиссию от звонка, т.е. колл-центры, которые работают на аутсорс.
Такой себе «CCCCaaS» – «Cyber-Crime-Call-Center-as-a-Service». Термин мой, родился при написании данной статьи (к тому же, аббревиатура «CCaaS» в интернете уже занята такими понятиями как «Contact-Center-as-a-Service» и «Customer-Care-as-a-Service»).
Второй особенностью таких онлайн-бизнесов является их принадлежность к постсоветскому пространству.

Ниже художественный перевод данной статьи (замечания просьба писать в личные сообщения).

image
Читать дальше →
Total votes 20: ↑15 and ↓5 +10
Comments 4

Пойманы преступники, опустошавшие банкоматы с помощью вируса Tyupkin

Reading time 2 min
Views 37K
Европол задержал преступников, которые опустошали банкоматы без использования пластиковой карты — с помощью заранее загруженного в банкомат вируса Tyupkin.

image

Сначала, с помощью загрузочного компакт-диска преступники получали доступ к установленным внутри банкоматов компьютерам под управлением одной из старых версий Windows и заражали их вредоносом. Данный вирус имел некоторые особенности: он отключал установленную антивирусную защиту, а также большую часть недели проводил «в спячке»: принимал команды от преступников по ночам — с субботы на воскресенье и с воскресенья на понедельник. Также троян мог отключать местную сеть, чтобы службы банка не могли удалённо подключиться к банкомату и проверить, что с ним происходит.
Читать дальше →
Total votes 7: ↑7 and ↓0 +7
Comments 44

Как я разблокировал найденный телефон методами соц. инженерии

Reading time 3 min
Views 101K
Конец рабочего дня, вечер, я нахожу на улице телефон. Им оказывается Samsung Galaxy S5 Mini, экран заблокирован с помощью CM Locker (это важно).

На телефоне подключён интернет, видны уведомления Instagram, Youtube, но ни одного пропущенного звонка или SMS. Да и что толку – нажать на уведомление, чтобы перейти к его деталям, из заблокированного состояния нельзя. Панель уведомлений также вызвать не получается, можно лишь запустить фонарик, включить/отключить передачу данных, Wi-Fi, блютуз и калькулятор. Ну и уменьшить/увеличить яркость/громкость, откуда тоже не добраться до набора телефонного номера или SMS.

Через пару часов телефон таки зазвонил. Мы договорились, что владелец заберёт его у меня завтра, так как он сейчас находится на другом конце города.

А в 6 утра на телефоне зазвонил будильник. Я сдвинул уведомление вправо и лёг обратно в кровать. Через пару минут будильник зазвонил снова. Что ж, я сдвинул значок влево. Не тут-то было – он снова зазвонил через несколько минут (забегая наперёд, скажу, что это не невозможность отключить будильник при заблокированном телефоне, а просто его владелец настроил около десяти будильников с разницей в пару минут между собой). Оставлять телефон звонящим в другой комнате или выключать его мне не хотелось, поэтому решено было найти способ разблокировать его.

image
(скриншот для примера)
Читать дальше →
Total votes 42: ↑31 and ↓11 +20
Comments 32
1

Information

Rating
Does not participate
Registered
Activity