[Информационная безопасность] Безопасность терминалов Qiwi…
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
В этом посте я хочу рассказать о безопасности терминалов крупнейшего платежного сервиса в странах СНГ 'Qiwi', а также данных вводимых в нем. Сегодня вы узнаете, как с помощью уязвимости социальной сети 'Вконтакте' мы сможете без труда получить доступ к данным от TeamViewer от платежного терминала Qiwi. Ну что же приступим...НачалоПока на фоне идет скучный дистанционный урок, я, лазя по документам Вконтакте (через уязвимость, которая уже ни для кого уже не секрет), наткнулся на интересный файл 'пароли от teamviewer 14' (сейчас файл уже удален). В нем располагалась таблица с трема колонками, а именно адрес, ID и пароль от TewmViewer... Зайдя по указанным данным, я был неприятно удивлен... Передо мной предстал интерфейс платежного терминала Qiwi... «М-да уж», — подумал я, — «А люди-то там свои персональные данные вводят».Шарим по терминалуНачать следует, пожалуй, с характеристик терминала, которые, кстати, очень даже скромны. Средненький процессор AMD Sempron и 2 гигабайта ОЗУ, что по меркам 2021 года очень даже мало (но для терминала сойдет). Установлена на терминале Windows 7 Домашняя базовая (я думал они до сих пор на Windows XP сидят, хе-хе)). Вот скриншот:
Скриншот №1. Характеристики терминалаЗатем я скачал и установил на терминал пакет программ (Google Chrome и т. д., а также запустил прямой эфир (стрим) через OBS. Что меня удивило, этим терминалом довольно-таки активно пользовались (и не подозревали, что их личные данные может увидеть любой желающий). В основном, конечно, пополняли свои счета мобильных телефонов, но встречались и те, что выбрасывали деньги на спортивные ставки (мне искренне жаль таких людей), а также оплачивали интернет:
Скриншот №2. Человек оплачивает Интернет (номер замазан для сохранения конфиденциальности)И таких было немало. Как вы понимаете для корпорации такого масштаба как 'Qiwi' это просто непозволительно. Я даже представить боюсь, что с этими данными может сделать социальный инженер...Далее я попробовал запустить Skype на терминале
Скриншот №3. Звонок через Skype на терминалеКто же слил данные в Интернет?А причиной столь банального взлома стала халатность и безответственность сотрудника (называть имя которого я не буду). Сразу же после извещения его об этом, файл был удален (для справки, он был загружен еще в марте 2020 года). Скорее всего он испугался, что обо всем станет известно его руководству и он лишится работы.ВыводыИногда банальная безответственность становиться причиной столь ужасных сливов. Не нужно быть профессиональным хакеров, чтобы получить доступ к персональным данным нескольких десятков клиентов Qiwi. И не удивляйтесь, если в следующий раз, проходя мимо терминала Qiwi, вместо привычного интерфейса Qiwi вы увидите разложенным пасьянс 'Косынка' или открытое видео непристойного содержания.Что необходимо предпринять Qiwi, чтобы избежать такой ситуации в будущем?Корпорации Qiwi необходимо надежнее выбирать своих посредников, а компаниям, занимающимся, установкой и настройкой оборудования выбирать только квалифицированных работников.
===========
Источник:
habr.com
===========
Похожие новости:
- [Хостинг, Информационная безопасность, Законодательство в IT] Осторожно! Развод и фишинг одновременно по нескольким каналам
- [Информационная безопасность, Сетевые технологии] Построение карты сети
- [Информационная безопасность, .NET, C#] OWASP, уязвимости и taint анализ в PVS-Studio C#. Смешать, но не взбалтывать
- [Информационная безопасность, .NET, C#] OWASP, Vulnerabilities, and Taint Analysis in PVS-Studio for C#. Stir, but Don't Shake
- [Информационная безопасность, Хранение данных, Законодательство в IT, IT-компании] «Яндекс» открыл доступ пользователям к инструменту для управления своими данными и их удаления
- [Информационная безопасность, Программирование, Haskell, Функциональное программирование] Почему я считаю Haskell хорошим выбором с точки зрения безопасности ПО? (перевод)
- [Информационная безопасность] Security Week 22: вредоносный видеостриминг
- [Информационная безопасность] Провайдер ProtonMail уточнил: в Минск ушло только одно письмо
- [Информационная безопасность, Разработка под Android, Геоинформационные сервисы, Смартфоны] Google собирает данные геолокации со смартфонов, даже если запретить отслеживание
- [Информационная безопасность] Как ловили хакера и инсайдера во Всемирном банке (перевод)
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_kivi (киви), #_terminal_oplaty (терминал оплаты), #_qiwi, #_informatsionnaja_bezopasnost (
Информационная безопасность
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:10
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
|
В этом посте я хочу рассказать о безопасности терминалов крупнейшего платежного сервиса в странах СНГ 'Qiwi', а также данных вводимых в нем. Сегодня вы узнаете, как с помощью уязвимости социальной сети 'Вконтакте' мы сможете без труда получить доступ к данным от TeamViewer от платежного терминала Qiwi. Ну что же приступим...НачалоПока на фоне идет скучный дистанционный урок, я, лазя по документам Вконтакте (через уязвимость, которая уже ни для кого уже не секрет), наткнулся на интересный файл 'пароли от teamviewer 14' (сейчас файл уже удален). В нем располагалась таблица с трема колонками, а именно адрес, ID и пароль от TewmViewer... Зайдя по указанным данным, я был неприятно удивлен... Передо мной предстал интерфейс платежного терминала Qiwi... «М-да уж», — подумал я, — «А люди-то там свои персональные данные вводят».Шарим по терминалуНачать следует, пожалуй, с характеристик терминала, которые, кстати, очень даже скромны. Средненький процессор AMD Sempron и 2 гигабайта ОЗУ, что по меркам 2021 года очень даже мало (но для терминала сойдет). Установлена на терминале Windows 7 Домашняя базовая (я думал они до сих пор на Windows XP сидят, хе-хе)). Вот скриншот:  Скриншот №1. Характеристики терминалаЗатем я скачал и установил на терминал пакет программ (Google Chrome и т. д., а также запустил прямой эфир (стрим) через OBS. Что меня удивило, этим терминалом довольно-таки активно пользовались (и не подозревали, что их личные данные может увидеть любой желающий). В основном, конечно, пополняли свои счета мобильных телефонов, но встречались и те, что выбрасывали деньги на спортивные ставки (мне искренне жаль таких людей), а также оплачивали интернет:  Скриншот №2. Человек оплачивает Интернет (номер замазан для сохранения конфиденциальности)И таких было немало. Как вы понимаете для корпорации такого масштаба как 'Qiwi' это просто непозволительно. Я даже представить боюсь, что с этими данными может сделать социальный инженер...Далее я попробовал запустить Skype на терминале  Скриншот №3. Звонок через Skype на терминалеКто же слил данные в Интернет?А причиной столь банального взлома стала халатность и безответственность сотрудника (называть имя которого я не буду). Сразу же после извещения его об этом, файл был удален (для справки, он был загружен еще в марте 2020 года). Скорее всего он испугался, что обо всем станет известно его руководству и он лишится работы.ВыводыИногда банальная безответственность становиться причиной столь ужасных сливов. Не нужно быть профессиональным хакеров, чтобы получить доступ к персональным данным нескольких десятков клиентов Qiwi. И не удивляйтесь, если в следующий раз, проходя мимо терминала Qiwi, вместо привычного интерфейса Qiwi вы увидите разложенным пасьянс 'Косынка' или открытое видео непристойного содержания.Что необходимо предпринять Qiwi, чтобы избежать такой ситуации в будущем?Корпорации Qiwi необходимо надежнее выбирать своих посредников, а компаниям, занимающимся, установкой и настройкой оборудования выбирать только квалифицированных работников. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 13:10
Часовой пояс: UTC + 5