"Обожаю" говорящих голов и всяких пиарщиков с "флаг ветром перевернуло"
Пост не о самой уявзимости, она, скорее, стандартна для всяких гейтов и интегрируемых решений (всегда намутят что-то). В посте интересно другое. Но чтобы это другое посмотреть и объяснить, мне придется скопировать весь текст ©.
Читатель Roem.ru рассказал об утечке персональных данных при попытке оплатить коммунальные услуги через интерфейсы Paymо.ru. Самые разные управляющие компании устанавливают эту систему на свои сайты для приёма платежей за ЖКХ. Для безопасности читатель порекомендовал отвязать пластиковую карту от платёжного средства. Номера карт могут оказаться скомпрометированы.
У платежного агрегатора Paymo дырочка-дырище.
Дислекймер: я, естественно, сначала написал об этом на почту саппорта в пэймо (на данный момент прошло 3 часа - реакции нет), написал пост в ФБ и затегировал их страницу - реакции нет.
Вкратце: вы можете видеть 12 из 16 цифр карты и попытаться оплатить покупку через paymo, зная лишь номер телефона другого человека. Если у вас него нет смс-подтверждений - платеж, судя по всему, пройдет. Я не доходил до этой стадии - не нажимал кнопку «Оплатить», но видел чужие сохраненные карты.
А теперь по шагам:
1) Отец попросил оплатить коммуналку за его квартиру. Начал платить, попал на платежный шлюз Пэймо. Автоподставился (подтянулся, видимо, по АПИ из кабинета УК) его телефон. И я вижу его привязанную карту и кнопку «Оплатить».
2) Думаю, ну ладно, может там супер-проверки, которые реально видят и проверяют, чтоя из его личного кабинет (в УК) на оплату перешел. Проверяю. Ввожу свой номер телефона - вижу привязанные карты свои, которыми я плачу за другую квартиру, в другом городе, в другую компанию, и кнопку «оплатить».
3) Становится интересно, ввожу номер нового соседа (он молодой и наверняка платит за коммуналку через инет), вуаля - подгружается его (ну, по крайне мере, не моя) карта и кнопка «оплатить».
Дальше - не пробовал. Но думаю, суть ясна - нет ниакой проверки. Просто вводишь номер телефона и подгружаются карты, привязанные к этому номеру. Ситуация усуглбляется тем, что я, например, свои карты специально не привязывал. Они автоматически (нет галочки отказаться) сохраняются при любой оплате. Ещё усугубляется тем, что Пэймо массово работает с ЖКХ и других вариантов оплачивать коммуналку у жителей конекретных домов нет, то есть тысячи людей вынуждены автосохранять свои карты в этом сервисе из говна и палок.
Спуся два часа молчания поддержки (уже после того, как отвязал свои и папины карты, кстати, СТРОГО РЕКОМЕНДУЮ сделать это тут, но есть нюанс, так просто отвязать карту не получится - надо регаться или восстанавливать пароль к их ЛК, это на контрасте с тем, что сохраняются они автоматом) решил проверить и записал видос-пруф: [..]
Андрей Арсентьев, аналитик группы компаний InfoWatch объяснил редакции:
К сожалению, подобные инциденты утечки информации нередки в платёжных системах. Основные причины, по которым безопасность данных обеспечивается ненадлежащим образом - дефекты разработки и внутренние сбои. [1] Например, в компании JP Morgan одно время клиенты при входе в свои аккаунты могли видеть данные других пользователей. [2] Впрочем, причиной может служить и внедрение хакерами вредоносного скрипта. [3] Но в случае с Paymo, скорее всего, произошел системный сбой.
Системный сбой произошёл у комментатора в голове в тот момент, когда он почему-то решил, что ему хватает знаний и компетенций комментировать те вещи, в которых он, судя по данному комментарию, не разбирается совсем, а производит эти действия просто для факта маяченья-мельканья в СМИ по соответствующей тематике и говорит обще-абстрактные вещи, совпадающие тематически хотя бы как-то.
"Системный сбой" - сука, это новый мем. Предлагаю пиарщикам гугла взять на вооружение:
- Подождите, но вы же wardriving'ом собираете данные из трафика закрытых сетей?!
- Ппохоже, у нас просто произошёл системный сбой, как говорит специалист из компании InfoWatch
Существует поговорка: "Молчи - за умного сойдешь". Я расставил маячки [1], [2] и [3], где можно было бы прервать цитату и не опозориться.
[1] - Самый идеальный комментарий. Сказано по сути, никаких глупостей. Прямо браво.
[2] - Тут уже так себе, но в целом еще тематически даже. В принципе, тоже прокатит.
[3] - Если рассуждать абстрактно - это бы подошло, хотя к данному примеру это уже "не пришей...". Но все, здесь место, где надо остановиться и просто замолчать!
"Но в случае с Paymo, скорее всего, произошел системный сбой".
Лучше этого можно было сказать только так:
"Но в случае с Paymo, я уверен, произошел системный сбой. Данные стали отображаться случайно!".
В принципе, пиарщикам из Paymo и прочим, кто интегрируется с ними, можно даже не реагировать на кейс :)
Читатель Roem.ru рассказал об утечке персональных данных при попытке оплатить коммунальные услуги через интерфейсы Paymо.ru. Самые разные управляющие компании устанавливают эту систему на свои сайты для приёма платежей за ЖКХ. Для безопасности читатель порекомендовал отвязать пластиковую карту от платёжного средства. Номера карт могут оказаться скомпрометированы.
У платежного агрегатора Paymo дырочка-дырище.
Дислекймер: я, естественно, сначала написал об этом на почту саппорта в пэймо (на данный момент прошло 3 часа - реакции нет), написал пост в ФБ и затегировал их страницу - реакции нет.
Вкратце: вы можете видеть 12 из 16 цифр карты и попытаться оплатить покупку через paymo, зная лишь номер телефона другого человека. Если у вас него нет смс-подтверждений - платеж, судя по всему, пройдет. Я не доходил до этой стадии - не нажимал кнопку «Оплатить», но видел чужие сохраненные карты.
А теперь по шагам:
1) Отец попросил оплатить коммуналку за его квартиру. Начал платить, попал на платежный шлюз Пэймо. Автоподставился (подтянулся, видимо, по АПИ из кабинета УК) его телефон. И я вижу его привязанную карту и кнопку «Оплатить».
2) Думаю, ну ладно, может там супер-проверки, которые реально видят и проверяют, чтоя из его личного кабинет (в УК) на оплату перешел. Проверяю. Ввожу свой номер телефона - вижу привязанные карты свои, которыми я плачу за другую квартиру, в другом городе, в другую компанию, и кнопку «оплатить».
3) Становится интересно, ввожу номер нового соседа (он молодой и наверняка платит за коммуналку через инет), вуаля - подгружается его (ну, по крайне мере, не моя) карта и кнопка «оплатить».
Дальше - не пробовал. Но думаю, суть ясна - нет ниакой проверки. Просто вводишь номер телефона и подгружаются карты, привязанные к этому номеру. Ситуация усуглбляется тем, что я, например, свои карты специально не привязывал. Они автоматически (нет галочки отказаться) сохраняются при любой оплате. Ещё усугубляется тем, что Пэймо массово работает с ЖКХ и других вариантов оплачивать коммуналку у жителей конекретных домов нет, то есть тысячи людей вынуждены автосохранять свои карты в этом сервисе из говна и палок.
Спуся два часа молчания поддержки (уже после того, как отвязал свои и папины карты, кстати, СТРОГО РЕКОМЕНДУЮ сделать это тут, но есть нюанс, так просто отвязать карту не получится - надо регаться или восстанавливать пароль к их ЛК, это на контрасте с тем, что сохраняются они автоматом) решил проверить и записал видос-пруф: [..]
Андрей Арсентьев, аналитик группы компаний InfoWatch объяснил редакции:
К сожалению, подобные инциденты утечки информации нередки в платёжных системах. Основные причины, по которым безопасность данных обеспечивается ненадлежащим образом - дефекты разработки и внутренние сбои. [1] Например, в компании JP Morgan одно время клиенты при входе в свои аккаунты могли видеть данные других пользователей. [2] Впрочем, причиной может служить и внедрение хакерами вредоносного скрипта. [3] Но в случае с Paymo, скорее всего, произошел системный сбой.
Системный сбой произошёл у комментатора в голове в тот момент, когда он почему-то решил, что ему хватает знаний и компетенций комментировать те вещи, в которых он, судя по данному комментарию, не разбирается совсем, а производит эти действия просто для факта маяченья-мельканья в СМИ по соответствующей тематике и говорит обще-абстрактные вещи, совпадающие тематически хотя бы как-то.
"Системный сбой" - сука, это новый мем. Предлагаю пиарщикам гугла взять на вооружение:
- Подождите, но вы же wardriving'ом собираете данные из трафика закрытых сетей?!
- Ппохоже, у нас просто произошёл системный сбой, как говорит специалист из компании InfoWatch
Существует поговорка: "Молчи - за умного сойдешь". Я расставил маячки [1], [2] и [3], где можно было бы прервать цитату и не опозориться.
[1] - Самый идеальный комментарий. Сказано по сути, никаких глупостей. Прямо браво.
[2] - Тут уже так себе, но в целом еще тематически даже. В принципе, тоже прокатит.
[3] - Если рассуждать абстрактно - это бы подошло, хотя к данному примеру это уже "не пришей...". Но все, здесь место, где надо остановиться и просто замолчать!
"Но в случае с Paymo, скорее всего, произошел системный сбой".
Лучше этого можно было сказать только так:
"Но в случае с Paymo, я уверен, произошел системный сбой. Данные стали отображаться случайно!".
В принципе, пиарщикам из Paymo и прочим, кто интегрируется с ними, можно даже не реагировать на кейс :)