Безопасность терминалов Qiwi… / Хабр

[ [ad_1]

В этом посте я хочу рассказать о безопасности терминалов крупнейшего платежного сервиса в странах СНГ ‘Qiwi’, а также данных вводимых в нем. Сегодня вы узнаете, как с помощью уязвимости социальной сети ‘Вконтакте’ мы сможете без труда получить доступ к данным от TeamViewer от платежного терминала Qiwi. Ну что же приступим…

Начало

Пока на фоне идет скучный дистанционный урок, я, лазя по документам Вконтакте (через уязвимость, которая уже ни для кого уже не секрет), наткнулся на интересный файл ‘пароли от teamviewer 14’ (сейчас файл уже удален). В нем располагалась таблица с трема колонками, а именно адрес, ID и пароль от TewmViewer… Зайдя по указанным данным, я был неприятно удивлен… Передо мной предстал интерфейс платежного терминала Qiwi… «М-да уж», — подумал я, — «А люди-то там свои персональные данные вводят».

Шарим по терминалу

Начать следует, пожалуй, с характеристик терминала, которые, кстати, очень даже скромны. Средненький процессор AMD Sempron и 2 гигабайта ОЗУ, что по меркам 2021 года очень даже мало (но для терминала сойдет). Установлена на терминале Windows 7 Домашняя базовая (я думал они до сих пор на Windows XP сидят, хе-хе)). Вот скриншот:

Скриншот №1. Характеристики терминала
Скриншот №1. Характеристики терминала

Затем я скачал и установил на терминал пакет программ (Google Chrome и т. д., а также запустил прямой эфир (стрим) через OBS. Что меня удивило, этим терминалом довольно-таки активно пользовались (и не подозревали, что их личные данные может увидеть любой желающий). В основном, конечно, пополняли свои счета мобильных телефонов, но встречались и те, что выбрасывали деньги на спортивные ставки (мне искренне жаль таких людей), а также оплачивали интернет:

Скриншот №2. Человек оплачивает Интернет (номер замазан для сохранения конфиденциальности)
Скриншот №2. Человек оплачивает Интернет (номер замазан для сохранения конфиденциальности)

И таких было немало. Как вы понимаете для корпорации такого масштаба как ‘Qiwi’ это просто непозволительно. Я даже представить боюсь, что с этими данными может сделать социальный инженер…

Далее я попробовал запустить Skype на терминале

Скриншот №3. Звонок через Skype на терминале
Скриншот №3. Звонок через Skype на терминале

Кто же слил данные в Интернет?

А причиной столь банального взлома стала халатность и безответственность сотрудника (называть имя которого я не буду). Сразу же после извещения его об этом, файл был удален (для справки, он был загружен еще в марте 2020 года). Скорее всего он испугался, что обо всем станет известно его руководству и он лишится работы.

Выводы

Иногда банальная безответственность становиться причиной столь ужасных сливов. Не нужно быть профессиональным хакеров, чтобы получить доступ к персональным данным нескольких десятков клиентов Qiwi. И не удивляйтесь, если в следующий раз, проходя мимо терминала Qiwi, вместо привычного интерфейса Qiwi вы увидите разложенным пасьянс ‘Косынка’ или открытое видео непристойного содержания.

Что необходимо предпринять Qiwi, чтобы избежать такой ситуации в будущем?

Корпорации Qiwi необходимо надежнее выбирать своих посредников, а компаниям, занимающимся, установкой и настройкой оборудования выбирать только квалифицированных работников.

[ad_2]

Перейти в источник

0

Автор публикации

не в сети 23 часа

admin

500
Комментарии: 4Публикации: 1454Регистрация: 12-02-2020

Похожие статьи

О классах Program и Startup — инициализация ASP.NET приложения. Часть II: IWebHostBuilder и Startup / Хабр

[ [ad_1] Введение Это — продолжение статьи, первая часть которой была опубликована ранее. В той части был рассмотрен процесс инициализации, общий для любого приложения .NET…

0

Инвентаризация ИТ-активов штатными средствами Windows с минимальными правами доступа

[ [ad_1] Коллеги, в предыдущей статье мы обсудили принципы эффективной работы с событиями аудита ОС Windows. Однако, для построения целостной системы управления ИБ важно не…

0

Цифровая трансформация офисной печати от зарождения до современных технологий

[ [ad_1] СодержаниеГлава №1. Краткая история зарождения офисной печати1.1. Пионеры1.2. ЭнтузиастыГлава №2. От CapEx к MPS и далее к DaaS2.1. Капитальные расходы (CapEx)2.2. Управляемые сервисы…

0

BlackRock — хозяин всех технологий. Как корпорации контролируют Open source / Хабр

[ [ad_1] Технологические гиганты при помощи денег инвестиционных фондов контролируют всё большую часть новых разработчиков и продуктов, перекрывая тем самым путь для новых программ и…

0

Ответы

Авторизация
*
*

Забыли пароль?

Регистрация
*
*
*
Генерация пароля