Il était une fois, je rêvais de devenir un spécialiste de la sécurité de l'information et j'ai fouillé avec diligence sur divers sites Web pour rechercher des vulnérabilités. Ma plus grande victoire a été de trouver une vulnérabilité dans le système de paiement QIWI, pour laquelle les bons développeurs m'ont donné 200 $. En conséquence, le problème découvert n'a été résolu que 3,5 ans après la plainte, et après cela, il est devenu possible d'en parler à l'Univers. Le plus drôle, c'est que j'ai découvert cette vulnérabilité complètement par accident, et vous pourriez facilement être à ma place.
En 2015, j'ai utilisé des cartes de débit virtuelles QIWI pour commander mes goodies petite soeur sur AliExpress. Le système était simple: vous avez une somme d'argent dans votre compte QIWI, vous cliquez sur le bouton «Émettre une carte virtuelle» et vous recevez des informations pour les paiements sur Internet. Vous l'obtenez de manière délicate: vous pouvez voir quelque chose dans l'interface Web (les 4 premiers et derniers chiffres du numéro de carte, date d'expiration), mais le plus intéressant vous parvient par SMS (8 chiffres du milieu du numéro de carte, CVV2). Une fois que quelque chose s'est mal passé: les 4 premiers et derniers chiffres du numéro de carte étaient toujours affichés dans l'interface Web, et ils ont soudainement commencé à arriver par SMS. Les 8 numéros restants, apparemment, devaient être déterminés par télépathie.
Je suis une personne simple: je vois un problème - je me plains au support technique. La réponse m'est venue très vite: «C'est une erreur temporaire, des experts font face à cette situation. Nous nous excusons pour tout désagrément qui aurait pu être causé." D'accord!
Après quelques jours, tout fonctionnait, mais pas de la même manière qu'avant. Les 4 premiers et 4 derniers chiffres du numéro de carte étaient toujours reçus par SMS, et le site affichait désormais la moyenne de 8 chiffres.
Attends une minute, et s'il y a un problème de sécurité, ai-je pensé? Comme toute personne d'une grande ville, j'ai vu toutes sortes de chèques dans ma vie. Ils indiquent généralement les 4 derniers chiffres du numéro de carte, ce qui signifie que ces données ne sont pas un secret. Ils sont également souvent vus sur les sites où vous entrez et enregistrez les détails de votre carte. Quelques fois, j'ai vu les reçus de caisse, où les 4 premiers chiffres étaient également indiqués. En regardant les cartes bancaires de ma famille, j'ai trouvé qu'elles avaient toutes le même préfixe. Aussi tellement secret, alors. Ainsi, les données secrètes antérieures venaient par SMS, le site affichait des données publiques, mais maintenant tout est l'inverse!
Je me suis assis devant l'ordinateur et j'ai écrit un rapport de bogue détaillé au programme de recherche de vulnérabilité, en cours de route, googler toutes sortes de choses intéressantes sur les numéros de carte bancaire. Ma principale pensée était: "Tout était bon, mais c'est devenu mauvais." Après 9 mois, ils m'ont donné de l'argent pour cela, et après 2,5 ans supplémentaires, ils ont corrigé l'erreur et ont permis la divulgation de l'histoire. Que pouvez-vous faire, il faut parfois pouvoir attendre! Lors de la prochaine itération, QIWI a appliqué un concept différent, qui me semble plus pratique et sécurisé: pour voir tous les détails sur le site, vous devez entrer le code de confirmation du SMS dessus.
N'importe qui aurait pu remarquer et se plaindre de ce bogue, y compris vous, cher ami. Comme vous pouvez le voir, cela ne nécessitait aucune connaissance spécifique de la sécurité de l'information et même une recherche spéciale du problème, tout se passait presque tout seul.
Soyez des chats, plaignez-vous auprès des développeurs des vulnérabilités et des bugs, et tout le monde ira bien!
L'original a été publié sur mon blog 23/03/19.
Comment j'ai trouvé une vulnérabilité dans QIWI et gagné 200 $
All Articles