Читатель Roem.ru рассказал об утечке персональных данных при попытке оплатить коммунальные услуги через интерфейсы Paymо.ru. Самые разные управляющие компании устанавливают эту систему на свои сайты для приёма платежей за ЖКХ. Для безопасности читатель порекомендовал отвязать пластиковую карту от платёжного средства. Номера карт могут оказаться скомпрометированы.
У платежного агрегатора Paymo дырочка-дырище.
Дислекймер: я, естественно, сначала написал об этом на почту саппорта в пэймо (на данный момент прошло 3 часа - реакции нет), написал пост в ФБ и затегировал их страницу - реакции нет.
Вкратце: вы можете видеть 12 из 16 цифр карты и попытаться оплатить покупку через paymo, зная лишь номер телефона другого человека. Если у вас него нет смс-подтверждений - платеж, судя по всему, пройдет. Я не доходил до этой стадии - не нажимал кнопку «Оплатить», но видел чужие сохраненные карты.
А теперь по шагам:
1) Отец попросил оплатить коммуналку за его квартиру. Начал платить, попал на платежный шлюз Пэймо. Автоподставился (подтянулся, видимо, по АПИ из кабинета УК) его телефон. И я вижу его привязанную карту и кнопку «Оплатить».
2) Думаю, ну ладно, может там супер-проверки, которые реально видят и проверяют, чтоя из его личного кабинет (в УК) на оплату перешел. Проверяю. Ввожу свой номер телефона - вижу привязанные карты свои, которыми я плачу за другую квартиру, в другом городе, в другую компанию, и кнопку «оплатить».
3) Становится интересно, ввожу номер нового соседа (он молодой и наверняка платит за коммуналку через инет), вуаля - подгружается его (ну, по крайне мере, не моя) карта и кнопка «оплатить».
Дальше - не пробовал. Но думаю, суть ясна - нет ниакой проверки. Просто вводишь номер телефона и подгружаются карты, привязанные к этому номеру. Ситуация усуглбляется тем, что я, например, свои карты специально не привязывал. Они автоматически (нет галочки отказаться) сохраняются при любой оплате. Ещё усугубляется тем, что Пэймо массово работает с ЖКХ и других вариантов оплачивать коммуналку у жителей конекретных домов нет, то есть тысячи людей вынуждены автосохранять свои карты в этом сервисе из говна и палок.
Спуся два часа молчания поддержки (уже после того, как отвязал свои и папины карты, кстати, СТРОГО РЕКОМЕНДУЮ сделать это тут, но есть нюанс, так просто отвязать карту не получится - надо регаться или восстанавливать пароль к их ЛК, это на контрасте с тем, что сохраняются они автоматом) решил проверить и записал видос-пруф:
https://youtu.be/pNLDOkR_GdE
Андрей Арсентьев, аналитик группы компаний InfoWatch объяснил редакции:
К сожалению, подобные инциденты утечки информации нередки в платёжных системах. Основные причины, по которым безопасность данных обеспечивается ненадлежащим образом – дефекты разработки и внутренние сбои. Например, в компании JP Morgan одно время клиенты при входе в свои аккаунты могли видеть данные других пользователей. Впрочем, причиной может служить и внедрение хакерами вредоносного скрипта. Но в случае с Paymo, скорее всего, произошел системный сбой.
Ответ paymо.ru в комментариях ниже.
Ответ Paymo: