Dalam posting ini saya ingin berbicara tentang keamanan terminal layanan pembayaran terbesar di negara-negara CIS 'Qiwi', serta data yang dimasukkan di dalamnya. Hari ini Anda akan belajar bagaimana, menggunakan kerentanan jejaring sosial Vkontakte, kami dapat dengan mudah mengakses data TeamViewer dari terminal pembayaran Qiwi. Nah, mari kita mulai ...
Mulailah
Sementara pelajaran jarak jauh yang membosankan sedang berlangsung di latar belakang, saya, merangkak melalui dokumen Vkontakte (melalui kerentanan yang tidak lagi menjadi rahasia bagi siapa pun), menemukan file 'kata sandi dari teamviewer 14' yang menarik (sekarang file tersebut telah dihapus). Itu berisi tabel dengan tiga kolom, yaitu alamat, ID, dan kata sandi dari TeamViewer ... Setelah memasukkan data yang ditentukan, saya terkejut tidak menyenangkan ... Antarmuka terminal pembayaran Qiwi muncul di depan saya ... "Hmmm ," - Saya pikir, "Dan orang-orang memasukkan data pribadi mereka di sana."
Berbagi di terminal
Mungkin kita harus mulai dengan karakteristik terminal, yang, omong-omong, sangat sederhana. Prosesor AMD Sempron biasa-biasa saja dan RAM 2 gigabita, yang sangat kecil menurut standar 2021 (tetapi itu akan berfungsi untuk terminal). Diinstal di terminal Windows 7 Home Basic (saya pikir mereka masih duduk di Windows XP, hehe)). Berikut screenshotnya:
(Google Chrome . ., () OBS. , - ( , ). , , , , ( ), :
. 'Qiwi' . , ...
Skype
?
( ). , ( , 2020 ). , .
Terkadang tidak bertanggung jawab yang dangkal menjadi alasan kebocoran yang begitu mengerikan. Anda tidak perlu menjadi peretas profesional untuk mengakses data pribadi puluhan pelanggan Qiwi. Dan jangan heran jika lain kali melewati terminal Qiwi, alih-alih antarmuka Qiwi yang biasa, Anda akan melihat Klondike Solitaire atau video terbuka konten cabul yang tersebar.
Apa yang harus Qiwi lakukan untuk menghindari situasi ini di masa depan?
Qiwi harus lebih andal dalam memilih pengecernya, dan perusahaan yang memasang dan mengonfigurasi peralatan hanya perlu memilih pekerja yang memenuhi syarat.