7月の「
QIWIでのユーザーデータのリーク 」と「
Tinkoff Bankが顧客の口座明細書を侵害しましたか? 」で説明したリンク選択の同じ問題。
これらの問題はすでに解決されていると言わざるを得ません
。 ただし、他にもあります 。 私はそれらの両方について書きます。
上記の投稿を読んだ人は、以下で議論されることを理解しています。 他の人のために、私は簡単に言います:これらの会社のクライアントによって実行されたトランザクションに関するデータを取得する機能があります(より正確には、存在しました)。
順番に開始します(実際、エラーはまったく同じです)。
Fidobankは、インターネットバンキングでサービスの支払いを行った後(つまり、登録クライアントになり、アカウントにログインする必要があります)、この支払い/購入の領収書をダウンロードする機会がありました。 それは長いリンクタイプだった
https://fidomarket.ua/purchase-history?p_p_id=historyportlet_WAR_fidoportlet&p_p_lifecycle=2&p_p_state=normal&p_p_mode=view&p_p_cacheability=cacheLevelPage&p_p_col_id=column-3&p_p_col_count=1&_historyportlet_WAR_fidoportlet_format=pdf&_historyportlet_WAR_fidoportlet_orderNum=XXXXXXXXXX&_historyportlet_WAR_fidoportlet_prodtype=Depositの外に彼女を引っ張っ、方法によって(336の文字、ページコード)。
そして、このリンクは許可なく開かれました。
「orderNum」パラメーターを変更するだけで十分で、サイトは他の誰かのPDFを提供します。
これらの領収書には機密情報(
ラッキー )はありませんので、ここに:
私はもっと興味深いオプションに出会いましたが(操作はインターネットバンキングを使用して実行されたことに注意します):
私のメッセージの後、エラーはすぐに終了しました。 銀行にセキュリティ問題を報告するための特別な
メールボックスがあることを嬉しく思います。 私が送った状況に対するいくつかの答えには同意しませんが。 例として、カードからカードに転送する場合(このサイトについては、ちなみにHabré
に関する記事が1つありました)、セキュリティのために認証コードが送信されます。 以前(これを長い間チェックしていません)、最初の転送操作を完了した後、10分以内に別の転送を行うと、認証コードは再送信されませんでした-現在のコードが使用されました。 従業員は、それが正常で安全だと主張しました。 銀行はSMSで保存したばかりだと思います)
別の例Googleでデポジットを探している場合、Chromeが表示したくないサブサイトがあります。
アドレスの文字「S」を削除しようとしても、Chromeは表示されません。
ところで、今ではFirefox、Opera、IEがエラーなしでこのサイトを開きますが、まだこのエラーが表示されるスクリーンショットがあります。
しかし、銀行のサイト-それはそうです。 先日、別のウクライナの銀行であるフォワードは、
ドメイン登録を更新する期限を逃しました (すでに復元されています)。
だからポートモーネ。 サービスの支払い後、領収書をPDFでダウンロードできる機能を備えた操作が正常に完了したことを示すメッセージが、この会社のページに表示されます。 リンクの形式は
portmone.com.ua/r3/uk/services/receipts/get-receipts/shop-bill-id/XXXXXXXXXXXXXXXXXXXXXXです。 最後のキャラクターを確認すると、サイトの顧客の領収書をダウンロードできます(選択時にサイトは禁止されませんでした)。 最も人気があったのは携帯電話の補充です。
ただし、他の支払いがありました。
領収書は、以前の年にも利用できました(左の部分、中央:「有料(有料):06/04/2010」):
また、この会社は状況を十分に迅速に修正し、名前のない「receipts.pdf」の代わりに、ファイルが「payment date Paid service.pdf」という形式でダウンロードされます。 今リンクが同じフォーマットを持っていますが、最後は今、129文字の代わりに19ある:
https://www.portmone.com.ua/r3/services/receipts/get-receipts/shop-bill-id/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 。
また、3Dセキュアの導入後にCVVチェックが落ちた銀行もあります。「CVV / CVC」フィールドに3つのユニットを入力したところ、3-Dセキュアコードを含むSMSを受信し、支払いが成功しました。 PrivatBankカードで同じ操作を実行しようとしました-「誤ったCVVまたはカードの有効期間」というエラーメッセージが表示されました。 そして今、名前のない銀行のカードでは、間違ったCVVでの操作が何度か確認されました。
ちなみに、
カードからカードへの移動についても説明
します 。
一部のサイトでは、カードからカードへの送金だけでなく、指定したカードの番号と金額(オプション)を「縫う」リンクを作成することもできます。 Portmone.comによると、「
このリンクをクリックすることにより、送金者は
オンラインでカードからあなたの送金することができます 。」 このようなサービスは、振替を受け取る必要があるが、カード番号を漏らしたくない場合に便利です。「
クリックして送信者にリンクを渡します。カード番号はすでに入力され、指定されている場合は金額が表示されます 」
EasyPay Webサイトでの表示は次のとおりです。
PrivatBankのウェブサイトで:
そして、Portmone Webサイトで:
違いを感じますか? 彼らはカード番号を隠しません。 (これはテストカードです。インターネットで表示することを恐れていません。テスト目的でお金を送金したい場合は、別のカードの番号をお知らせします;-)
一般に、この方法で終了します。エラーはどこにでもあります。 主なものはそれらを見つけることです。