Neste post quero falar sobre a segurança dos terminais do maior serviço de pagamento nos países da CEI 'Qiwi', bem como os dados inseridos nele. Hoje você aprenderá como, usando a vulnerabilidade da rede social Vkontakte, podemos acessar facilmente os dados do TeamViewer a partir do terminal de pagamento Qiwi. Bem, vamos começar ...
Começar
Enquanto uma aula remota enfadonha estava acontecendo no fundo, eu, rastejando por documentos Vkontakte (através de uma vulnerabilidade que não é mais um segredo para ninguém), encontrei um arquivo interessante 'senhas do teamviewer 14' (agora o arquivo já foi excluído). Continha uma tabela com três colunas, a saber, o endereço, ID e senha do TeamViewer ... Depois de inserir os dados especificados, fiquei desagradavelmente surpreso ... A interface do terminal de pagamento Qiwi apareceu na minha frente ... "Hmmm , "- Eu pensei," E as pessoas estão inserindo seus dados pessoais lá. "
Compartilhando no terminal
Talvez devêssemos começar pelas características do terminal, que, aliás, são muito modestas. Um processador AMD Sempron medíocre e 2 gigabytes de RAM, o que é muito pequeno para os padrões de 2021 (mas servirá para um terminal). Instalado no terminal do Windows 7 Home Basic (eu pensei que eles ainda sentam no Windows XP, hehe)). Aqui está uma captura de tela:
(Google Chrome . ., () OBS. , - ( , ). , , , , ( ), :
. 'Qiwi' . , ...
Skype
?
( ). , ( , 2020 ). , .
Às vezes, a irresponsabilidade banal se torna a razão para um vazamento tão terrível. Você não precisa ser um hacker profissional para acessar os dados pessoais de dezenas de clientes Qiwi. E não se surpreenda se da próxima vez que passar pelo terminal Qiwi, ao invés da interface usual do Qiwi, você verá o Klondike Solitaire ou um vídeo aberto de conteúdo obsceno espalhado.
O que Qiwi deve fazer para evitar essa situação no futuro?
A Qiwi precisa ser mais confiável na escolha de seus revendedores, e as empresas que instalam e configuram equipamentos precisam selecionar apenas trabalhadores qualificados.