En este post quiero hablar sobre la seguridad de los terminales del servicio de pago más grande de los países de la CEI 'Qiwi', así como los datos ingresados en el mismo. Hoy aprenderá cómo, utilizando la vulnerabilidad de la red social Vkontakte, podemos acceder fácilmente a los datos de TeamViewer desde el terminal de pago Qiwi. Bueno, comencemos ...
Comienzo
Mientras una aburrida lección remota está sucediendo en segundo plano, yo, rastreando documentos de Vkontakte (a través de una vulnerabilidad que ya no es un secreto para nadie), encontré un archivo interesante 'contraseñas de teamviewer 14' (ahora el archivo ya ha sido eliminado). Contenía una tabla con tres columnas, a saber, la dirección, ID y contraseña de TeamViewer ... Habiendo ingresado los datos especificados, me sorprendió desagradablemente ... La interfaz del terminal de pago Qiwi apareció frente a mí ... "Hmmm , "- pensé," Y la gente está ingresando sus datos personales allí ".
Compartiendo en la terminal
Quizás deberíamos empezar por las características del terminal, que, por cierto, son muy modestas. Un procesador AMD Sempron mediocre y 2 gigabytes de RAM, que es muy pequeño para los estándares de 2021 (pero servirá para un terminal). Instalado en el terminal Windows 7 Home Basic (pensé que todavía se sientan en Windows XP, jeje)). Aquí tienes una captura de pantalla:
(Google Chrome . ., () OBS. , - ( , ). , , , , ( ), :
. 'Qiwi' . , ...
Skype
?
( ). , ( , 2020 ). , .
A veces, la irresponsabilidad banal se convierte en el motivo de una filtración tan terrible. No es necesario ser un pirata informático profesional para acceder a los datos personales de decenas de clientes de Qiwi. Y no se sorprenda si la próxima vez que pase por el terminal Qiwi, en lugar de la interfaz Qiwi habitual, verá el Solitario Klondike o un video abierto de contenido obsceno extendido.
¿Qué debería hacer Qiwi para evitar esta situación en el futuro?
Qiwi debe ser más confiable al elegir a sus revendedores, y las empresas que instalan y configuran equipos deben seleccionar solo trabajadores calificados.