Dziura w serwisie OLX Na lukę natknąłem się przypadkiem podczas próby anulowania wyróżniania ogłoszenia. O co chodzi? Mianowicie serwis przechowuje PEŁNE dane kart płatniczych włącznie z kodem CVV. Jeśli płaciliście już kiedyś kartę płatniczą, serwis podczas płatności poprosi o podanie kodu CVV w celu weryfikacji, co jest w pełni normalne. Natomiast nienormalne jest to, że przechodzi OBOJĘTNIE JAKI KOD, a pieniądze są pobierane z waszej karty. Co taki błąd oznacza? Oczywiście to, że olx przechowuje wszelkie dane karty płatniczej, a użycie karty nie wymaga znania prawidłowego kodu. Błąd występuje zarówno na Androidzie jak i na IOS więc najprawdopodobniej tyczy się całego Olxa. Dziura może okazać się fatalna w skutkach, ponieważ wystarczy jeden włam ze strony hakerów by pozyskać tysiące danych kart płatniczych.
@PanHeniek45: wiedzą o tym, mieli oddzwonić, ale nikt się nie odezwał. Gdy ja zadzwoniłem jakaś przemiła Pani skierowała mnie do formularza kontaktowego i tyle.
@kitowsci: Nie korzystałem z płatności na OLX, ale jeśli nie są obsługiwane przez jakiegoś zewnętrznego usługodawcę to zrób donosik do Mastercard i Visa to będą mieli nieźle jechane po rajtach.
Jeśli jest to zewnętrzny serwis to jest szansa, że na podstawie pierwszej płatności jest generowany token który nie potrzebuje ponownego CVV do obsługi płatności, ale tak czy inaczej podawanie go, żeby go olewać, jest bez sensu.
@kitowsci: jakieś 5 lat temu robiłem w płatnościach od strony programistycznej. #!$%@? sobie uciąć nie dam, bo to dawno było, ale wydaje mi się, że bez kodu CVV można spokojnie robić płatności, w zasadzie wystarczał sam numer karty (sic!). CVV, data ważności i nazwa właściciela to są dupochrony dla odbiorcy transakcji, bo chargeback transakcji bez tych danych jest w zasadzie 100% pewny, jeżeli płatnik się o to upomni.
@kitowsci: skąd wiesz że przechowują dane karty a nie token od providera płatności, którego używają przy kolejnych płatnościach? Taki token może być wystawiony dla konkretnej domeny, więc nikt go nie użyje na innej stronie. Oczywiście błąd jest, ale co najwyżej możesz stracić pieniądze na rzecz OLX, więc podejrzewam, że atak nie ma sensu, bo nikt nie będzie się narażał żeby OLX zarobił. Zgłaszałeś im to?
Wydawac by się powinno że Amazon ma o wiele lepsze zabezpieczenia niż polski OLX, ale dla pewności w Amazonie mam podpięta wirtualna kartę Revoluta na której nic nie ma.
Na lukę natknąłem się przypadkiem podczas próby anulowania wyróżniania ogłoszenia.
O co chodzi?
Mianowicie serwis przechowuje PEŁNE dane kart płatniczych włącznie z kodem CVV.
Jeśli płaciliście już kiedyś kartę płatniczą, serwis podczas płatności poprosi o podanie kodu CVV w celu weryfikacji, co jest w pełni normalne.
Natomiast nienormalne jest to, że przechodzi OBOJĘTNIE JAKI KOD, a pieniądze są pobierane z waszej karty.
Co taki błąd oznacza? Oczywiście to, że olx przechowuje wszelkie dane karty płatniczej, a użycie karty nie wymaga znania prawidłowego kodu.
Błąd występuje zarówno na Androidzie jak i na IOS więc najprawdopodobniej tyczy się całego Olxa.
Dziura może okazać się fatalna w skutkach, ponieważ wystarczy jeden włam ze strony hakerów by pozyskać tysiące danych kart płatniczych.
"Przechowywanie kodu zabezpieczającego jest niedozwolone w myśl regulacji organizacji płatniczych. – Nikt, ani merchant ani acquirer, poza czasem potrzebnym na zrealizowanie transakcji kartą MasterCard, nie powinien przechowywać kodu CVC."
https://www.cashless.pl/1179-gdzie-jest-granica-wygody-aplikacja-callpay-kolej-oferuje-mozliwosc-zapamietania-kodu-cvv-cvc
#olx #allegro #pytanie #swiat #afera #cebuladeals
Komentarz usunięty przez autora
Bo ktoś może teraz skorzystać z Twojej wiedzy
Gdy ja zadzwoniłem jakaś przemiła Pani skierowała mnie do formularza kontaktowego i tyle.
Jeśli jest to zewnętrzny serwis to jest szansa, że na podstawie pierwszej płatności jest generowany token który nie potrzebuje ponownego CVV do obsługi płatności, ale tak czy inaczej podawanie go, żeby go olewać, jest bez sensu.
Ale też bym zgłosił (
Przeczytaj trochę wyżej
Komentarz usunięty przez autora
@Scutacarus:
Wydawac by się powinno że Amazon ma o wiele lepsze zabezpieczenia niż polski OLX, ale dla pewności w Amazonie mam podpięta wirtualna kartę Revoluta na której nic nie ma.