Оффтоп Konstantin Panphilov
3 093

Случай RBK Money: Допустимо ли держать сумму и назначение платежа в публичном доступе

Пользователь «Хабрахабра» Алексей Томилов заметил, что платёжный сервис RBK Money позволяет просматривать данные о транзакциях других пользователей. Представители RBK Money называют эту публикацию «информационной атакой». 

Томилов написал в заметке на «Хабрахабре», что ему удалось получить доступ к записям о чужих транзакциях, переключая один из параметров в адресной строке после совершения платежа. По его словам, на тот момент можно было просмотреть ряд данных по каждому переводу: email плательщика, сумму транзакции и её получателя, ссылку возврата в магазин. В случае с некоторыми компаниями, ссылка возврата отдаёт не менее важную информацию, например, адрес доставки или данные оплаченного билета.

После того, как Томилов обратился в службу поддержки, система начала заменять звёздочками часть символов в электронных адресах, однако представители системы отказались признавать обнаруженную Томиловым лазейку брешью в безопасности. Через какое-то время, пишет автор, email-адреса вновь стали отображаться полностью. Маскировка адреса вернулась после повторного обращения.

В комментариях к записи появился официальный аккаунт RBK Money, который опроверг все обвинения в нарушении приватности пользовательских данных и назвал всю историю «чёрной PR рекламой».

RBK Money официально соответствует стандарту безопасности PCI DSS (Payment Card Industry Data Security Standard), проходит ежегодный аудит у европейских аудиторов и ежеквартальное сканирование точек доступа к системе. PCI DSS строго регламентирует и говорит о том, что по всем стандартам безопасности в индустрии платежных карт не должны быть раскрыты следующие данные о плательщике: cardholder name, номер кредитной карты, СVC. Является ли маскированный e-mail идентификационной информацией о пользователе? Нет. Так же как и не были скомпроментированы никакие другие данные пользователей, которые могли бы его идентифицировать. 

Поэтому, если говорить о самом продукте RBK Money, безопасности пользователя ничего не угрожает. Мы не можем отвечать за мерчантов, которые, исходя из наших параметров колбэка, самостоятельно реализуют настройки. Мы настоятельно рекомендуем клиентам при настройках использовать функцию повторной авторизации пользователя.

Не вступаем в дискуссию с непрозрачными фактами и черной PR рекламой наших «коллег» по рынку. Сорри.

Эксперимент редакции ЦП показал возможность получения некоторых данных о пользователях RBK Money, а именно — суммы и назначения платежа, а также части email-адреса.

Представители RBK Money заявили ЦП, что действительно считают запись Томилова информационной атакой, но не смогли назвать заказчика, сославшись на недостаточное количество доказательств. По их словам, атака длится на протяжении года, и всё это время недоброжелатели «пускают слухи по партнерам, обзванивают и шлют письма клиентам, организовывают срачи в соцсетях».

#персональные_данные #rbk_money

Статьи по теме
Госдума запретила анонимные интернет-переводы между пользователями
{ "author_name": "Konstantin Panphilov", "author_type": "editor", "tags": ["\u043f\u0435\u0440\u0441\u043e\u043d\u0430\u043b\u044c\u043d\u044b\u0435_\u0434\u0430\u043d\u043d\u044b\u0435","rbk_money"], "comments": 20, "likes": 12, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 5457, "is_wide": true, "is_ugc": false, "date": "Thu, 23 Oct 2014 02:24:15 +0400" }
{ "id": 5457, "author_id": 3, "diff_limit": 1000, "urls": {"diff":"\/comments\/5457\/get","add":"\/comments\/5457\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/5457"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199791, "possessions": [] }

20 комментариев 20 комм.

Популярные

По порядку

Написать комментарий...
9

Всё равно малоприятно, что так вот просто перебором можно посмотреть. Учитывая, что email клиента раньше высвечивался полностью, то это явно косяк РБК. В чем тут черный PR я так и понял. Вообще пофиг даже, факт остается фактом - такие данные в открытом виде малоприятны. А бездоказательные обвинения человека в работе на конкурентов - это как по мне так еще хлеще самого косяка.

Ответить
2

Просто у ребят в RBK, по-видимому, считается дурным тоном использовать хешированный с солью токен для доступа к sensitive-данным.

И самое интересное, эта модификация не потребует изменения в структуре БД, а лишь буквально несколько строк кода в контроллерах.

Ответить
9

Это не информационная атака. Просто я сообщил об ошибке в RBK. Если надо, есть вся переписка + часть данных. Но я надеюсь, что до их публикации в общий доступ дело не дойдет. Ребята из RBK, вы бы постыдились делать такие заявления, а просто сказали "спасибо".

Некоторым получателям, которых я увидел, скинул ссылку на хабр и попросил закрыть данные заказов от неавторизованных пользователях, т.к. опасаюсь, что кто-то кроме меня мог знать об этой бреши и этим воспользоваться. От них я получил слова благодарности и моментальное исправление.

Ответить
1

Там можно вытащить телефоны тех, кто делал платежи > 200k? Для премиальной смс-рассылки нужно 😆 😆

Ответить
0

Смс-рассылки уже запрещены законом РФ :)

Ответить
5

Учитывая, что email ранее показывался, в голову сразу приходит схема с мошенничеством аля: "Ваш платеж не прошел, повторите транзакцию" и тут же ссылка на фишинговый сайт. Черный пиар? По моему это подстава по черному от рбк.мани.

Ответить
2

А что скажут представители RBK Money по поводу вот такой ссылочки:
https://sko.rbkmoney.ru/opencms/opencms/default/index.html?invoiceId=1052705527&preference=&language=ru

Там номер сохраннной карты нехило так светится, хоть и не полностью и даже есть возможность повторить платеж введя CVV

Ответить
2

Да что ж там за идиоты то работают? В исходном коде все равно имейл открыт: dmitriykretinin@mail.ru

Ответить
0

Ждал этого коммента. Мыло есть, 4 последние цифры карты есть. Можно начинать угонять учетки на iTunes/Amazon.

Ответить
0

у меня номер карты не отображается, пустое поле

Ответить
0

Уже видимо владелец карты вычистил. Еще вчера было

Ответить
1

Да, таки сохраняются карты, можно подбирать cvv2... Жестяк))

Ответить
1

Если написать скриптец, который будет пробегаться по таким урлам и подставлять произвольный cvv2 в формы, в которых сохраняются карты и отправлять на оплату, то 1 платеж из 1000 оплатиться. Без ведома пользователя. Повторно. И это ни в коем случае не уязвимость, все ок, РБК! :)

Ответить
0

Все понятно, это информационная атака. Нас раскрыли. Будем вместе с вами искать заказчика, чтобы деньги за черный PR получить?

Ответить
0

Вы жестоки. Стало очень страшно за свою карту.

Ответить
1

Сдаётся, кого-то сожгут в итоге в курилке из РБК.

Ответить
1

Алексей, вы молодец! Аудитории ЦП, я думаю, понятно что РБК прикрывает свой голый зад. Вопрос в другом, из комен. "официально соответствует стандарту безопасности PCI DSS " и бла-бла-бла, если возможно при данной "защите" получить доступ к платному контенту другого пользователя (билеты, кей от софта), о каком черном PR идет?

Ответить
0

Спасибо, но я не хотел так раздувать ситуацию. Лишь бы ошибка пропала.

Ответить

0

Есть еще один такой сервис, который светил все детали платежа и давал перебором последних данных в URL получить кучу интересной информации. После моего письма мне ответили, что это нормально, правда, сказали, что поменяют отображение номера операции на сгенерированный код.

По всей видимости они это таки сделали, потому как старый адрес уже недоступен.

Ответить

0

За фразу "срачи в соцсетях" - я в такую контору не обрашусь и друзей отговорю

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Команда калифорнийского проекта
оказалась нейронной сетью
Подписаться на push-уведомления
{ "page_type": "default" }