RDot: White Hat Security Community

RDot: White Hat Security Community (https://rdot.org/forum/index.php)
-   Оффтоп/Offtopic (https://rdot.org/forum/forumdisplay.php?f=12)
-   -   Яндекс-Киви баг? (https://rdot.org/forum/showthread.php?t=2939)

recfrf 14.11.2013 21:04

Яндекс-Киви баг?
 
Недавно у одного обменника, школота увела 200к+ рублей, кому интересно, неоконченная история тут.
К сожалению проверить тему по горячим следам не удалось, из-за глючности киви(невозможность получить реквизиты), а может так и было задумано, тк пострадавший обратился к яндексу, но внятного ответа от них не получил, да и киви был на тех.обсл. некоторое время. Понятно что дырка(если была) была обнаружена абсолютно случайно, такие проебы только так и вылезают, ну и школьники от радости не смогли все сделать красиво.
С того что удалось узнать, процесс выглядел так
Код:

Сначала мы зарегистрировали яндекс кошелёк и qiwi кошелёк. Брали у qiwi виртуальную карту с 0 балансом, её привязали к яндекс кошельку. Потом мы скачали Tor Browser через который мы уже и делали все операции. А теперь по пунктам:
Заходили на обменник и выбирали обмен с яндекса на wmr
Авторизировались через яндекс.
Писали количество денег
Писали свой яндекс кошелёк (с привязанной картой) и писали wmid и r кошелёк.
Ну и дальше уже происходил перевод, при этом на нашем яндекс счету и на карте было денег, недостаточно для такого перевода.

Кто что думает, неужели реален такой проеб со строны яндекскиви? есть мнение, что они в принципе не признаются в том что был какой либо баг, прикрыли дырку и типа это у вас проблемы а мы не причем. Да и как показывает время, самые прикольные баги до того просты, что удивительно как их не находили раньше.

tex 14.11.2013 23:20

Почему увели у обменника если баг у яндекса? Все через их апи работает же.

Jokester 14.11.2013 23:36

Перенёс сюда, тема всё же не для "уязвимостей"

По теме:
Не читал 55 страниц истории, но по твоему описанию не понимаю при чём тут яндекс?

Это очень похоже на ситуацию, когда биллинг пишут кодеры различной степени криворукости. Я бы даже сказал что она штатная. Ну загнать счёт в минус это нужно быть уникальным биллинго-писателем, но проблемы (в том числе и нелепые) в такого рода продуктах встречаются довольно часто.
Я разумеется сейчас говорю не о биллинге яндекса, который работает довольно давно, и я уверен, что если бы у них были такого рода ошибки, они бы давно всплыли. Я говорю о биллинге самого обменника. "Школьники", как ты их называешь, заходили на обменник, и осуществляли транзакцию именно через него, я так понимаю с яндексом он работает по API самого яндекса, а как он совершает дальнейшие операции (свои внутренние) по конвертации и обсчитыванию поступления\снятия никто не знает. Или там априори всё отлично и у них багов нет, а искать их нужно у яндекса, который уже вдоль и поперёк прошарили и хакеры и люди по багбаунти?

Или я что то не так понял, и транзакции на обменниках идут как то по другому, без собственного биллинга, а как то "напрямую"?

recfrf 15.11.2013 01:41

когда платишь яндекс деньгами, тебя перекидывает в любом случае на яндекс, если нормальной картой, то после на страничку банка, потом обратно на яндекс. Я проверял на нескольких обменниках, но не доводил процесс до конца, на реальных картах всегда участвует банк, на киви все идет в пределах яндекса и именно в нем сообщалось что платеж успешный, так говорят виновные. Сейчас, когда киви очнулись, яндекс пишет что денег на счете нет, по логике киви должен говорить что на счете нет денег яндексу, либо он криво говорил, либо яндекс криво понимал ответ. Школьники не в кавычках, им реально по 15 лет, и потратили они бабло на майнкрафт сервер. Насчет багокопателей, вспомни о cgi-php баге, самое примитивное как раз можно и не заметить, все ищут что то сложное. Но я тоже не верю в баг на яндексе или киви, хотя вдруг, этож мега фейл.

b30v3r 16.11.2013 21:11

Сложилось впечатление, что тов. soul просто пиарит свой обменник. Ни на один конкретный вопрос на первых 10-ти страница он не ответил, поэтому дальше читать я уже не стал.


Часовой пояс GMT +3, время: 14:34.

Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd. Перевод: zCarot