Данные кредитных карт – Кредитные карты — оформить онлайн заявку в 53 банка через интернет, заказать кредитку

номер, EXP, CVV в CSV, XML, JSON, SQL

Внимание! Представленный генератор кредитных карт создает всего лишь фейковые номера кредитных карт согласно алгоритму Луна. Использование этих данных в магазинах ни к чему не приведет. Только для тех, кто понимает, о чем идет речь. Для личного пользования, на свой страх и риск. Есть предложение или нашли ошибку? Напишите в комментарии, поправим.

Разбор настроек

Сам генератор номеров кредитных карт очень простой в освоении, а главное – полностью онлайн, но на всякий случай пробежимся по возможным настройкам.

Выбор шаблона

Здесь представлено сразу две возможности – выбор на основе имеющегося списка и ручное создание шаблона.

Пробежимся по списку. Первым пунктом стоит параметр «Случайная карта». На самом деле карта не совсем случайна, а всего лишь генерируется на основе имеющихся в списке шаблонов. Но каждый раз при генерации шаблоны выбираются именно рандомно.

Можно выбрать и любой имеющийся в списке шаблон. Шаблоны даются лишь для примера, по большей части используется лишь ручная генерация. Есть дополнительные надстройки для Visa и MasterCard. Кстати, если заметили, Visa больше и не представлена, но надеемся оно и не будет нужно. Но если кому-то вдруг понадобится разбавить список своими бинами – просим в комментариях.

Перейдем к ручной генерации, самый интересный момент. Номер карты подается в формате:

xxxx xxxx xxxx xxxx

Все разумно – 16 цифр, разделенных по группам пробелами. Вместо «иксов» свободно вводим свои цифры. А алгоритм на базе Луна будет уже подыскивать правильные цифры для свободных полей (надеюсь, вы знаете, что номер карты не совсем случайный и имеет контрольную проверку). При выборе шаблона из списка обратите внимание, как это поле перестроится само.

Настройки вывода

Все остальные настройки напрямую влияют только на вывод.

Разделитель предоставлен в 3 форматах: пробел, – (дефис), без разделителя. Влияет на формат вывода номера карты – ставим, кому как удобнее. По классике номер карты на самой банковской карте разделяется только пробелами.

Количество – определяет, сколько карт в итоге нужно сгенерировать на вывод.

Формат. Предоставлено несколько форматов под разные нужды. Самый простой – CSV, для использования в простом текстовом виде или таблице. Ничего сложного. Для особых нужд введены форматы JSON, SQL, XML.

Галочки EXP и CVV отвечают за необходимость генерации даты истечения и кода безопасности карты (на обратной стороне). По умолчанию они выводятся, также используйте по своим нуждам. Обычно хватает и номера карты, к тому же на дату истечения и код никаких форматных проверок не налагается.

Генератор номеров кредитных карт: поддержка EXP и CVVВот об этих значениях и идет речь

Можно ли ввести свою функцию?

И еще раз повторим. Хотите внести свое дополнение или же нашли какую-то ошибку? Смело пишем в комментарии. Сделаем совместно классное и удобное решение для всех. А пока пользуемся. Надеюсь, вы знаете, что с этим делать. И помните – это всего лишь фейк. Применять их нужно уметь.

Обновления

26 августа 2018 г. Теперь, если отметить галочку “ФИО”, к картам будут генерироваться имя владельца по шаблону “IVAN IVANOV”. Для списка взяты ТОП25 мужских и женских имен, а также ТОП50 фамилий. Пробуем!

17 ноября 2018 г. Исправлена ошибка, из-за которой в случайный генератор не попадала часть карт. Бонусом добавлена галочка “По порядку” – при ее установке согласно шаблону генерируется первая случайная карта и от нее далее все карты по порядку согласно алгоритму Луна.

Генератор номеров кредитных карт: поддержка EXP и CVV
Загрузка…

7 способов получения кредиток — «Хакер»

Здоровеньки булым, гарнiй
хлопец. Если ты часто себя спрашиваешь :» Ну че
за хрень, да где же эти кардеры берут номера
кредиток???%=( Значит, эта статья для тебя!

Способ 1. Этот способ
основан на уязвимости в OnLine магазинах… Наверно
многим хочется поиметь чужие кредитки, владельцы
которых пользуются ими в он-лайн шопах. Ну что
ж…у вас есть такая возможность! Для этого вам не
придётся ухищряться, делая свой порносервер и
что-либо ломать. Достаточно просто зайти
какой-нибудь известный поисковик (я бы
посоветовал тебе www.altavista.com
или www.yahoo.com, но можешь
пользоваться и другим) и ввести пару волшебных
слов. Какие именно?! Хмм…давайте посмотрим =).

Многие админы оставляют открытыми такие
директории:

/orders
/Order
/Orders
/order
/config
/Admin_files
/mall_log_files
/PDG_Cart
PDG_Cart/order.log
PDG_Cart/shopper.conf
/pw
/store/customers
/store/temp_customers
/WebShop
/webshop
/WebShop/templates
/WebShop/logs

В директориях подобного рода содержатся файлы
типа:

orders.txt
order.txt
import.txt
checks.txt
order_log
order.log
orders.log
orders_log
log_order
log_orders
temp_order
temp_orders
order_temp
orders_temp
quikstore.cfg
quikstore.cgi
order_log_v12.dat
also order_log.dat
web_store.cgi
storemgr.pw
admin.pw
cc.txt
ck.log
shopper.conf
Так же нужно смотреть *.cfg, *.pw и *.olf файлы

Хех…вроде бы и всё, что нужно знать =). Ложишь

пальцы на клаву и нервно стучишь в поисковую
строку нечто на подобие «Index of /orders.log» и жмёшь
ENTER. Что дальше?! А дальше вам стоит просто
терпение и перебор нужных ссылок…а потом
проверка полученых кредиток =). Вот так вот плохие
люди (ака редиски =) имеют ваши креды.

Способ 2. Делаем
порносайт :)))! Да-да именно порносайт. Идея в чем ?
Много раз ты видел в сети кучу сайтов, которые
предоставляют тебе доступ в каталог с порнушкой
после того как ты заплатишь N-ую сумму по
кредитке. Тебе влом делать такую пагу? Но ради
сотен кредиток тебе стоит этим заняться, тем
более что пага будет левая, те не надо заливать
туды тысячи картинок. Делаем крутую начальную
страницу, желательно на флеше и без фреймов(так
юзеры любят:)), и страницу для бесплатного
доступа(free trial), залив туда штук десяток крутейших
качественных фоток, которые не нужно брать с

таких известных и крупных сайтов как www.sex.com, www.porno.com, етц., потом
заделываем регистрацию для получения от
ламеров/юзеров номеров их кредиток и инфы,
которая необходима для того чтобы эти бабки с
креды слить. Всосал фишку? Все просто как
задница!!! И делов то на 2 часа ! При этом слезно
обещаешь юзверю, что пароль для доступа ты
пришлешь через 2 часа, и вот тебе еще и мыло,
которое ты можешь продать в большом количестве.
Двойная выгода. Ясен перец, что пароль ты не
пришлешь, но зато пришлешь уведомление о том, что
сайт временно не работает:))!

И запомни фишку, не загибай цен,
а креды проверяй для того чтобы знать, что юзер
довольно половозрелое существо (то бишь
совершеннолетний), так многие делают ! Надеюсь ты
все уяснил? И запомни : НЕ ЖАДНИЧАЙ ! Если будут
какие-либо вопросы, пиши: [email protected],
постараюсь ответить!

Способ 3. С помощью 2
способа ты получишь минимум кред. Порносайт плох
тем, что вряд ли вам удастся создать что-то такое,
на что народ бы валом попёр, т.к. то, что можно было
придумать новаторское в этой области, давно
придумано, да и народу, который на порносайты за
деньги валит, сравнительно немного…и ламерков
(юзеров, программеров, хакеров, системных
администраторов — подчеркнуть нужное), которые
пытаются денег нагрести, полно, а после
публикации в «Хакере» количество оных, я
думаю, увеличится ещё раз в 5-10 раз =)))).
Чтобы выделиться на общем фоне, надо прибегать
к-чёрт-знает-каким-напрягам, да и вообще подумай:
надо ли тебе это?????

Есть идея получше: открыть свой
е-магазин =))))))))), без всяких шуток!=).
Итак, фишка заключается в том, что можно
предложить народу любые продукты (только не

варенье и не тампаксы =)))), по ценам ниже рыночных
=). Как это сделать? Да очень просто: мы только
предлагаем, но ничего не продаём. Чувствую, что
окончательно тебя запутал =). Давайте приведу
пример: создаём сайт по продаже
супер-пупер-мега-дрюпер-компов по цене в 400
вечнозеленых =)(ну, ест-но, покупка по кредам, и
тэдэ, и тэпэ), после некой рекламы про
супер-низкие цены к нам приходит человек, и, видя
данную картину, естественно желает прикупить
парочку данных компов. Далее, он покупает их по
креде, которая и приходит к нам на е-маил, а через
дня два ему посылается письмецо с содержанием:
Компания супермега компы Inc. крупно извиняется,
но не может выполнить данную услугу в данный
момент, или что-то в этом духе… И вот у вас креда в
руках, творите что хотите, но особенно не
зарывайтесь=).
Так же можно продавать буржуям продукты питания,
так как там, где солнце светит наглой мордой,
покупки через интернет делают в основном
домохозяйки.

Способ 4. Можно найти в Интернете список
работающих кредиток. Где? Ну, например, на
каком-нибудь сайте хакерской группы(на www.zlob.org кредиток нет — прим.
автора:)). Вроде, на www.carder.org
хотят сделать такой раздел…

Способ 5. В больших супермаркетах
принимают к оплате кредитные карты. После того,
как покупатель прошел через кассу у него на руках
остается чек и «Слип». Так вот многие люди
просто выкидывают его в урну. Стоит поошиваться
около мусорки и у тебя на руках остается почти
настоящая кредитка. Кстати подходят только
карточки Visa, MasterCard и AmericanExpress(aka Amex). (это обычно
пишется на слипе.)

Способ 6.

Попросить у друга-официанта
незаметно переписать номер кредитки и
дать/продать тебе.

Способ 7. Взломать какой-нибудь web-shop и
скоприовать файл или лог с кредиками. Способ
имеет большой недостаток. Необходимо быть крутым
хакером, а этим наделены немногие.

Способ 8. Купить кредитку в банке (как
сам понимаешь, отпадает в связи с тематикой
данной статьи 🙁 )

Ну все, если ты знаешь еще какие-нибудь способы,
пиши мне на мэйлбокс.

Примечание: только не надо меня бомбить письмами
с просьбой дать реальных номеров кредитных карт,
все равно не дам, да и не знаю я что такое кредитки
и вообще я боюсь компьютеров:))

З.Ы. Спасибо ХыР-у за помощь в написании статьи!

Какие данные банковской карты можно, а какие нельзя сообщать сторонним лицам

Почем важно знать, какие данные хранить в тайне?

Банковская карта — быстрый и удобный способ хранения средств и оплаты счетов. На ней находятся ваши денежные средства, необходимые для существования: зарплата, пенсия, накопления. Каждая карта имеет уникальный набор реквизитов: номер, дату окончания и т.д. Эти данные нужно хранить в тайне и желательно не сообщать посторонним лицам.

Ответственность за сохранность данных карты несет держатель карты. Если вы сообщите реквизиты карты третьим лицам, то можете лишиться ваших денежных средств на карте, стать жертвой мошенника, а в определенных случаях и фигурантом уголовного дела.
Читайте также: Можно ли отдать свою карту другому человеку?

Поэтому рекомендуем со всей серьезность относиться к защите своих карт и в случае их компроментации реквизитов немедленно блокировать пластик и перевыпускать. Это поможет сохранить ваши деньги в сохранности.

Что такое реквизиты банковской карты?

Реквизиты банковской карты — это данные, указанные на пластике (номер, фамилия и имя владельца, срок действия и т.д.) Рассмотрим реквизиты на банковской карте более подробно на примере. На картинке каждый реквизит имеет собственный номерной знак.

Цифра 0 — ПИН-код к банковской карте, который указывается в запечатанном конверте или придумывается клиентом.

Цифра 1 — наименование банка-эмитента карты. Указывается банк, выпустивший карты и обслуживающий ее.

Цифра 2 — Защитный чип.

Цифра 3 — Номер карты, который обычно состоит из 16-ти цифр. Некоторые номера состоят из 18-ти цифр. В этих цифрах заложена определенная информация (наименование платежной системы, типа карты и т.п.)

Цифра 4 — Окончание срока действия карты. Здесь указывается месяц и год, когда у карточки закончится срок действия.

Цифра 5 — Имя и фамилия владельца карты латинскими буквами.

Цифра 6 — CVC/CVV2 код. Он находится на оборотной стороне карты и состоит из 3 или 4 цифр.

Реквизиты, которые можно сообщать

  • Номер своей банковской карты. Если злоумышленник завладеет номером вашей банковской карты, он не сможет сделать с этим ничего противоправного.
  • Номер счета своей банковской карты. У каждой карты есть счет, к которому она привязана. Он начинается с цифр 40817 и состоит из 20-ти цифр. Разглашение номера счета тоже не представляет никакой опасности.
  • Имя и фамилия владельца карты. Разглашение этих данных само по себе не несет опасности для владельца карты.
  • Последние 3 или 4 цифры номера карты. Разглашение этих данных никак не отразится на безопасности денег на вашей банковской карте. Эти данные помогают сотрудникам банка при решении вашего вопроса по телефону быстро найти нужную карту. Сами по себе они не несут никакой ценности. Зная данные цифры никакие действия с картой произвести нельзя.

Читайте также: Что делать, если нашел чужую карту?

Что делать, если просят 3х значный номер на обратной стороне?

Трехзначный номер на обратной стороне банковской карты называется CVC/CVV2 код. Он служит подтверждением того, что данная карта находится у вас в руках. Зная номер карты и данный код можно провести оплату вашей картой в любом месте.

Практически все интернет-магазины требуют данный код для оплаты. При оплате онлайн сообщать данный код можно. Без ввода этого кода оплата не пройдет и платеж за нужный вам товар или услугу вы не осуществите. Желательно вводить этот код на проверенном сайте во избежание мошенничества.

А вот сообщать этот номер человеку, по телефону или при помощи электронной почты не следует. Велика вероятность лишиться денег на карте.

Реквизиты, которые нельзя сообщать

  • ПИН-код. Это строго конфиденциальная информация, которую нельзя сообщать даже близким родственникам и друзьям, не говоря уже о посторонних людях. Правоохранительные органы знают тысячи случаев, когда с помощью ПИН-кода деньги с  карты снимали именно близкие родственники или друзья владельца карты.
  • CVC/CVV2 код. Он находится на обороте карты на полосе для подписи и состоит из 3 или 4 цифр. Этот код используется, чтобы проверить, что карта находится в руках того, кто в данный момент совершает платежную операцию. Такой код можно приравнять к ПИН-коду, но только в интернет пространстве. Сообщать его третьим лицам нельзя, однако современные интернет-магазины не принимают оплату без введения этого кода. Если к карте подключен 3D-Secure, то можно смело вводить CVC код при оплате в интернет-магазине.
  •  Номер карты и дату окончания cрока действия нельзя сообщать вместе! По этим данным можно сделать покупку в популярном Интернет магазина Amazon.
  •  Код 3D-Secure при оплате сторонним лицам тоже сообщать не следует. Он одноразовый и знать его должны только вы. Если вам звонят и говорят, что придет определенный код, то его никому показывать нельзя. Возможно злоумышленники знают реквизиты вашей карты и этот код является последней преградой, мешающей украсть деньги с вашей карты.
  •  Все реквизиты карточки одновременно. Некоторые реквизиты карточки не несут опасности, если их называть по-отдельности. Однако если владелец сообщит злоумышленнику все реквизиты своего пластика, это может закончиться плохо.

Что можно сделать, зная реквизиты банковской карты?

Согласно отчету Центробанка год свыше 65% мошеннических операций с банковскими картами совершаются при наличии у злоумышленников реквизитов пластика. Это самый распространенный способ, как можно украсть деньги с карточки любого человека.

Зная реквизиты карты, злоумышленники могут списать с нее деньги абсолютно разными способами.

Зная реквизиты вашей банковской карты, злоумышленник может расплатиться ей за покупки в интернет-магазине, совершить перевод с карты на карту и т.п.

Есть более изощренные варианты, как завладеть чужими деньгами, зная данные карты, поэтому владельцу пластика важно хранить эту информацию в секрете.

Когда сообщать даже номер карты небезопасно?

Номер карты можно сообщать друзьям и близким для перевода. Однако нужно быть очень аккуратным, если что то продаете и покупаете на Авито. Сейчас на этой доске объявлений действует множество мошенников.

Одним из способов обмана является мошенничество с переводами на карту. Допустим вы продаете товар за 20 тыс. Вам пишет покупатель и вы договариваетесь о сделке. Вы даете свой номер карты и деньги приходят, но вместо 20 тыс. приходит 40 тыс. С вами связывается покупатель и пишет, что перевод задвоился и нужно вернуть 20 тыс. на карту с данным номером. Вы возвращаете деньги. Потом внезапно обнаруживаете, что вашу карту заблокировали.
Читайте также: 6 советов, как защититься от утраты денег
Далее вы становитесь участником расследования полиции. На самом деле мошенник параллельно продавал еще товар, например iPhone последней модели за 40 тыс. и нашел покупателя. Тот перевел деньги уже на вашу карту, но естественно товар не получил. Он обратился в полицию, завели дело и вашу карту заблокировали.

Итого вам нужно будет вернуть 40 тыс. обманутому покупателю и 20 тыс. вы отдали мошеннику и 20 тыс. осталось на вашей карте. Итого минус 40 тыс.

Как видите, не всегда можно сообщать номер карты даже посторонним людям. Нужно быть внимательным и правильно взвешивать риски.

Как обезопасить реквизиты своей карты?

Есть несколько способов, как обезопасить данные своей банковской карты. Во-первых, владелец пластика должен заменить свою карту на пластик с моментальной оплатой в одно касание. Для такого платежа не нужно доставать карту из кошелька, светить ее перед очередью, вводить ПИН-код. Достаточно поднести кошелек к считывающему устройству и деньги спишутся без особых проблем.
Читайте также: Что делать, если потерял карту?
Никто в очереди не сможет разглядеть реквизиты вашей банковской карты или запомнить пин-код. Конечно, здесь тоже есть свои риски. Например, если клиент потеряет кошелек, то банковской картой смогут воспользоваться другие люди, ведь вводить ПИН-код для оплаты не нужно.

Во-вторых, можно заменить карту на пластик с возможностью оплаты через Apple Pay, Samsung Play, Google Play. Благодаря этому варианту можно оплачивать покупки и услуги, приложив свой мобильный телефон к считывающему устройству. Клиенту даже не нужно носить с собой карту или кошелек. Достаточно скачать специальное приложение, зарегистрировать там все свои карты и оплачивать с него.

Этот способ кажется гораздо более надежным и безопасным, чем предыдущий. Да, здесь тоже есть риск потерять телефон, но современные гаджеты надежно защищены паролями, отпечатками пальцев или сканированием сетчатки глаза.

В-третьих, нужно внимательно проверять сайт при оплате в интернете. Сегодня очень распространены фишинговые сайты, которые собирают информацию о банковских карточках, списывают все деньги под 0. Фишинговый сайт — это абсолютная копия (подделка) какого-то популярного сайта, интернет-магазина или даже интернет-банка. Перед тем как вводить реквизиты своей банковской карты на сайте, всегда перепроверяйте его адрес на соответствие действительности.

В-четвертых, не сообщайте реквизиты своей банковской карты даже близким родственникам, старайтесь принимать переводы не по реквизитам карты, а по номеру телефона. Они доступны для клиентов Сбербанка, Тинькофф и других банков.

В-пятых, для интернет-покупок заведите виртуальную банковскую карту. Ее можно оформить за считанные минуты в интернет-банке любого банка. Это абсолютно бесплатно. На виртуальную карту можно переводить деньги со своего основного пластика без комиссии и за считанные секунды.

После пополнения виртуальной картой можно оплачивать покупки и услуги в любых интернет-магазинах без ограничений. Это самый безопасный способ покупок в интернете и сохранения реквизитов основного пластика.

В-шестых, если вы все-таки не открыли виртуальную карту для покупок в интернете, всегда следите, чтобы интернет-магазин был настоящим, имел какие-то отзывы в интернете. Вместе с фишинговыми сайтами в интернете много сайтов-однодневок, которые создаются под видом интернет-магазина и собирают данные банковских карт.

Популярные вопросы по безопасности

Нужны ли данные владельца для перевода на карту?

Данные получателя при переводе на карту в принципе не нужны, т.е. вы не обязаны их указывать. Однако, некоторые банки обычно указывают самого отправителя. Если вы, например, переводите деньги из онлайн банка Сбербанка или Райффайзен, то получателю в комментарии к платежу будет видно, кто перевел деньги.

Можно ли сообщать 3 цифры на задней стороне карты?
Сам банк обычно никогда не звонит клиенту и не спрашивает реквизиты карты. Нужно быть осторожным при звонках из банка, лучше перезвонить самому через горячую линию и все узнать.
  • 3 цифры с ЗАДНЕЙ стороны карты НЕ следует сообщать в телефонном разговоре никому!
  • 3 последние цифры НОМЕРА карты можно сообщать, если вы звоните сами на горячую линию и вас спросили про это. Это нужно для быстрой идентификации вашей карты
Что нельзя говорить сотруднику банка о своей карте?

Если вам звонит сам банковский работник, особенно служба безопасности банка — то нужно быть очень внимательным, т.к. сотрудники банка звонят клиентам в исключительных случаях. Если все таки разговор идет, то НЕЛЬЗЯ сообщать 3 последние цифры на обороте карты, все реквизиты карты одновременно, пин-код карты. Если вы сообщили и начали сомневаться, что вам звонил сотрудник банка — лучше заблокировать и перевыпустить карту

Если отдал данные карты на Суперприз Лайк, нужно ли менять карту?

Да, карту лучше заблокировать и поменять. Суперприз Лайк похоже на какое-то мошенничество. Просто заманивают обычных людей и просят их палить данные карты. А потом снимают денежки. Не стоит доверять розыгрышам в Интернет, где просят указать данные банковской карты. Риск обмана велик.


Дмитрий Тачков

Создатель проекта, финансовый эксперт

Привет, я автор этой статьи и создатель всех калькуляторов данного проекта. Имею более чем 3х летний опыт работы банках Ренессанс Кредит и Промсвязьбанк. Отлично разбираюсь в кредитах, займах и в досрочном погашении. Пожалуйста оцените эту статью, поставьте оценку ниже.

Полезное по теме

Все акции и скидки
банков и МФО

Смотрите все акции крупных банков и МФО,
получайте скидки, кешбек и подарки

Как уязвимость платежной системы раскрывала данные кредитных карт / Habr

Недавно решил проверить на уязвимости сайты платежных систем (ua,ru). Нашёл топ такого рода сервисов, на множестве из которых были обнаружены xss, csrf и другие популярные уязвимости. Были компании, которые оперативно устраняли уязвимости, благодарили и договаривались о сотрудничестве, были, которые молча фиксили, и самый неприятный момент — компании, которые не верили в опасность проблемы, я пытался доказать им обратное, что дело обстоит серьезно, предлагал показать уязвимость на их тестовом аккаунте, говорили, что исправят, но до сих пор и не исправили.

Есть одна платежная система, на которой присутствовала уязвимость, позволяющая получить критически важную информацию о пользователе, его пароле, кредитной карте и тд. Баг очень легко воспроизводился, правда вывод средств со взломанных аккаунтов был затруднен по нескольких причинам, расскажу о них под катом.

Сайт компании https://www.plategka.com, это 7900 alexarank в Украине. Я обычно не трачу много времени на каждый сайт, потому что ещё не известно, как относится к уязвимостям на своём сайте владелец, возможно он проигнорирует уязвимость и моё время будет потрачено зря. Если нашёл первую стоящую уязвимость на сайте, то я её сразу репорчу, смотрю на реакцию владельца, и если он положительно относится к такого рода мероприятиям и хочет чтобы я сотрудничал с ним дальше, то продолжаю свои поиски.

Первое, что я сделал — это проверил поддомены и директории по моему словарю, поддомены были выявлены следующие

mail.plategka.com
test.plategka.com

, в целом брут ничего не дал.
Далее была просмотрена выдача по google доркам, увы, поиск не увенчался успехом, и единственное что было найдено — статья Gorodnya на Хабре о том, как он нашёл уязвимость на plategka , и о том как ему заплатили очень много денег — всего $8.

Следующим шагом было решено протестить функционал личного кабинета, csrf баги не удалось воспроизвести из-за подтверждения паролем для изменения данных, также стояли фильтры на xss.

Единственное, что было обнаружено – это self xss в подтверждении формы паролем, опасность такой баги минимальна, поэтому нужно было искать что-то другое и более серьезное.

Одна вещь, на которую я обратил внимание — это сервис pay2me. Его работа заключается в обработке данных о кредитных картах, я посчитал это интересным предметом для изучения.
Раньше натыкался на новости с этим сервисом, но не обращал на них особого внимания. Инструкция к созданию:

В личном кабинете есть соответствующая вкладка — «Настройки Pay2me». Для создания уникальной ссылки необходимо ввести ее название, 16-значный номер карты и нажать клавишу «Добавить».

Я создал свою ссылку https://www.plategka.com/gateway/pay2me/qwqwqw/.


Данные о карте были скрыты, xss уязвимости отсутствовали. Внимание привлек ответ бурпа. В исходном коде страницы с оплатой в javascript выдавался логин юзера, md5 хэш его пароля, ФИО, email и номер телефона:

{“user_id”:”dd660731660eb4bba1f62e44e7″,”user_role_id”:null,”org_id”:null,”merchant_id”:null,”partner_id”:null,”login”:”berest****”,”passwd”:”f1957496d2f5c7cb3caa73c2e*******”,”first_name”:”\u0418\u043b\u044c\u044f”,”second_name”:”\u0418\u0433\u043e\u0440\u0435\u0432\u0438\u0447″,”last_name”:”\u0412\u044f\u0437\u043c\u0435\u043d\u0442\u0438\u043d\u043e\u0432″,”email”:”berest****@ya.ru”,”phone”:”+38097360″,”key_private”:”inNFD\/aJyC2\/KWsuQ9vAs9FGg6\/\/4YnGjQuHUX7tu0i5GMY7weB3EddH815ytvkaUfS8F0KuxWMgAzDBAKv+Rv6Uzqgtn6qMaHH8N6v5KFWFeeRncGQ6XPQwo4kboNJIf8jidlFj\/Xi8+5BqRM\/cUfDt+P3ODaql5dImLehS36jzBwsQq6NjKZFYVkwhZ1mKbcu4H832JA32mHaHmTLlb\/HAocxg6ws1EDKRyJoNL3S8P”,”key_public”:”/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/+6MXVFgAmowKck8C+Bqoofy6+A2Qx6lREFBM8ENpCZGo6QAkjv2uYcw+JwXzBglqyomyBGp6kCR3G4KwWuFNQG+dNGA+uRC3wCvbHyPPRZKpuNIwM3AFGXdWWs3yZok32NbMkFRRcFa3raJ1QFlk1usJ6D3tnGiSrPL4NM+kB\/S6ezQHZzepScfD”,”secret”:”d7ceeb0a873ad2d29de12c45b******”,”secret_key”:null,”date_created”:”2017-05-11″}

(это данные, взятые из url https://www.plategka.com/gateway/pay2me/ilia/ ).

Уязвимость найдена, но одной моей ссылки для доказательства будет маловато, было принято решение о нахождении других подобных ссылок.

Были попытки их нахождения с помощью дорков вида site:plategka.com inurl:pay2me/, выдало только одну ссылку. Я знал, что ссылок должно быть намного больше, потому что сервис пользуется хорошей популярностью.

Последним шансом получить заветные ссылки стал брутфорс в интрудере, было загружено более 100 000 популярных английских слов и начат перебор.

Получилось найти около 40 ссылок, примерно половину паролей удалось узнать

Я зашёл на пару аккаунтов проверить, шифруются ли cvv2 и др данные карты.

На первом аккаунте обнаружил 3 действительных карты:

На втором было 20:

cvv в аккаунте скрыт, раскрывается информация только о 10 цифрах номера карты и срок её действия. Чтобы обналичить карты, можно, например, пополнить webmoney, или другой электронный кошелёк. Но для того, чтобы это сделать, придется ввести cvv2 код в подтверждении платежа, даже если карта была верифицирована.

Первое, что мы можем сделать – это ввести рандомный cvv2 код, например 111. Часто нас редиректит на ввод otp от банка, и тогда платёж не проходит из-за неверного cvv2.

Также можем забрутить cvv2, но потом опять можно столкнутся с вводом кода из банка, который тяжело обойти.

Если у нас будет дата и частичный номер карты, то обычная фишинг атака может заставить юзера рассказать о номере своей карты (мы получили email, номер телефона, ФИО, я даже смог получить несколько ссылок на страницы пользователей в соцсетях), даже обычное письмо вида: “Вы выиграли денежный приз, для его получения Вам необходимо прислать нам номер Вашей карты” может сработать, действие не требует предоставления критических конфиденциальных данных.

Чтобы подобрать cvv2, можно использовать какой-то онлайн магазин, всего 1000 запросов и мы подобрали код (вот статья об этом). Конечно, некоторые магазины делают редирект на ввод otp от банка, но многие “забугорные” магазины сразу списывают деньги без необходимости редиректа.

Уязвимость была зарепорчена почти сразу после брутфорса, в комплекте к данным по уязвимости прислал и базу пользователей, которые были оперативно заморожены, а сам баг был быстро устранен.

За уязвимость заплатили всего $100, сказали, что для того чтобы получить больше, я должен узнать все данные кредитной карты из аккаунта.

Хронология:

13.07 в 17:00 — отправлен репорт.
13.07 — уязвимость исправлена.
20.07 — выплачена награда $100.
24.07 — статья была согласована с тех поддержкой plategka.com.

Вывод из статьи: Не смотря на заявленное прохождение PCI DSS, я бы рекомендовал сайтам периодически проверять уязвимости, а клиентам — заводить виртуальные карты для использования в Интернет.

P.S: Если Вам нужен аудит безопасности, то пишите сюда. Также, если Вас интересует мониторинг новых статей, можете подписаться на vk/twitter/telegram, ссылки внизу.

Предыдущая статья.

Author: admin

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *