Suatu ketika, saya bermimpi menjadi seorang spesialis keamanan informasi dan dengan rajin mencari-cari celah di berbagai situs web. Kemenangan terbesar saya adalah menemukan kerentanan dalam sistem pembayaran QIWI, di mana pengembang yang baik memberi saya $ 200. Akibatnya, masalah yang ditemukan diselesaikan hanya 3,5 tahun setelah pengaduan, dan setelah itu dimungkinkan untuk memberi tahu Semesta tentang hal itu. Lucunya, saya menemukan kerentanan ini sepenuhnya secara tidak sengaja, dan Anda dapat dengan mudah berada di tempat saya.
Kembali pada tahun 2015, saya menggunakan kartu debit virtual QIWI untuk memesan barang adik perempuan saya dari AliExpress. Sistemnya sederhana: Anda memiliki sejumlah uang di akun QIWI Anda, Anda mengklik tombol "Terbitkan kartu virtual" dan Anda menerima informasi untuk pembayaran di Internet. Anda mendapatkannya dengan cara yang rumit: Anda dapat melihat sesuatu di antarmuka web (4 digit pertama dan terakhir nomor kartu, tanggal kedaluwarsa), tetapi hal yang paling menarik datang kepada Anda melalui SMS (8 digit tengah nomor kartu, CVV2). Saat ada yang tidak beres: 4 digit pertama dan terakhir dari nomor kartu masih ditampilkan di antarmuka web, mereka tiba-tiba mulai masuk ke SMS. Delapan angka yang tersisa, tampaknya, harus dihitung secara telepati.
Saya orang yang sederhana: Saya melihat masalah - Saya mengeluh kepada dukungan teknis. Dengan sangat cepat saya menerima jawaban: “Ini adalah kesalahan sementara, para ahli sedang menangani solusi untuk situasi ini. Kami mohon maaf atas ketidaknyamanan yang ditimbulkan. " Baik!
Setelah beberapa hari, semuanya bekerja, tetapi tidak dengan cara yang sama seperti sebelumnya. 4 digit pertama dan terakhir dari nomor kartu masih dikirim ke SMS, dan situs sekarang menampilkan 8 digit tengah.
Tunggu sebentar, bagaimana jika ada masalah keamanan, pikir saya? Seperti setiap orang dari kota besar, saya telah melihat segala macam cek dalam hidup saya. Mereka biasanya menunjukkan 4 digit terakhir dari nomor kartu, yang berarti data ini bukan rahasia. Mereka juga sering terlihat di situs tempat Anda memasukkan dan menyimpan detail kartu Anda. Beberapa kali saya melihat kuitansi kasir, yang 4 digit pertamanya juga disebutkan. Melihat kartu bank keluarga saya, saya menemukan semuanya memiliki awalan yang sama. Juga sangat-sangat rahasia, kalau begitu. Jadi, sebelumnya, data rahasia datang melalui SMS, situs tersebut menampilkan data publik, tetapi sekarang semuanya sebaliknya!
Saya duduk di depan komputer dan menulis laporan bug terperinci ke program pencarian kerentanan, di sepanjang jalan mencari berbagai hal menarik tentang nomor kartu bank di Google. Pikiran utama saya adalah: "Semuanya baik, tetapi menjadi buruk." Setelah 9 bulan, mereka memberi saya uang untuk ini, dan setelah 2,5 tahun berikutnya mereka memperbaiki kesalahan dan mengizinkan pengungkapan cerita. Apa yang bisa Anda lakukan, terkadang Anda harus bisa menunggu! Pada iterasi berikutnya, QIWI menerapkan konsep berbeda, yang menurut saya lebih nyaman dan aman: untuk melihat semua detail di situs, Anda perlu memasukkan kode konfirmasi dari SMS di dalamnya.
Siapapun dapat memperhatikan dan mengeluh tentang bug ini, termasuk Anda, teman. Seperti yang Anda lihat, ini tidak memerlukan pengetahuan khusus tentang keamanan informasi dan bahkan pencarian khusus untuk masalah tersebut, semuanya terjadi hampir dengan sendirinya.
Jadilah kucing, komplain kepada pengembang tentang kerentanan dan bug, dan semuanya akan baik-baik saja untuk semua orang!
Yang asli diterbitkan di blog saya 03/23/19.
Bagaimana saya menemukan kerentanan di QIWI dan mendapatkan $ 200
All Articles