Вкратце, существует возможность собрать огромное количество данных о платежах по выставленным счетам, произведённых в системе. Эти данные включают в себя назначение платежа, описание, сумму. И самое главное: номер мобильного телефона плательщика, который, в некоторых случаях, по совместительству, является логином в кошельке. В описаниях же обычно доступна и иная информация, которая не должна быть достоянием общественности, как и всё ранее упомянутое.
Выждав, как полагается, достаточное количество времени для возможности исправления, решил представить общественности найденную мной утечку конфиденциальных данных. Исследование проводилось в рамках багбаунти программы. Этот отчёт, которому на данный момент более полугода, отмечен как дубликат, поэтому, скорее всего, проблема остаётся неисправленной ещё дольше.
Проверял всё описанное ниже со своим кошельком, информация, к сожалению, совпадает. Данные доступны любому желающему, для эксплуатации нет никаких зависимостей, осуществляется простым перебором параметра order.
Подтвердим описанное выше на примере. Пройдя по ссылке https://w.qiwi.com/order/external/main.action?order=524928171&phone=12345, получим ответ:
А заглянув в HTML код, найдём телефонный номер пользователя, совершившего данный платеж.
Ещё один пример, с отменённым статусом.
HTML:
А здесь помимо упомянутых данных имеется чей-то email, который, кстати, не гуглится. Этот случай, как нельзя кстати, подходит под ответ на вопрос, почему порой на приватную почту или мобильный сыпется спам.
Идём дальше:
Почта, так же, не светилась. Извлекаем телефонный номер:
И тут же подтверждаем валидность этого номера и почты заодно:
Let's Google it:
