Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Información de las transacciones de Dineromail expuesta en Internet" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
DineroMail es una plataforma de pagos, con presencia en Argentina, Brasil, Chile, Colombia y México, que te permite cobrar y recibir pagos online.
Como es comun con este tipo de medios de pago, las empresas o tiendas comerciales implementan el típico “botón de pago” mediante el cual realizan el pago. El proceso de pago se realiza mediante el subdominio checkout.dineromail.com, al cual se le entregan distintos parametros mediante GET y POST con la información de la transacción.
Con una simple busqueda en Google podemos obtener un listado completo con información de las transacciones realizadas, muchas de ellas corresponden a transacciones de prueba pero existen algunas que no parecen serlo, aunque de todas formas ¿por qué hacen pruebas en producción?
Para poder acceder a este listado de transacciones debemos buscar en Google site:checkout.dineromail.com y analizar los resultados, por ejemplo analizamos un par de resultados obtenidos:
URL indexada: https://checkout.dineromail.com/CheckOut?country_id=1&merchant=1427800&language=es¤cy=ars&payment_method_available=ar_dm&item_currency_1=ars&item_name_1=Cuenta%20Premium%20DepositFiles%2014%20Dias&item_quantity_1=1&item_ammount_1=3500&seller_name=MegaCuentas.com
Corresponde a una transacción de pago del vendedor MegaCuentas.com por un valor de ARS$35,00
URL indexada: https://checkout.dineromail.com/CheckOut?country_id=1&seller_name=Fundaci%C3%B3n%20Nordelta&item_name_1=Donaci%C3%B3n&item_quantity_1=1&item_ammount_1=500.00&item_currency_1=ars&payment_method_available=ar_tnaranja,1;ar_cabal,1;ar_tshopping,1;ar_italcred,1;ar_visa,1;ar_master,1;ar_amex,1;&tool=button&merchant=donacion@fundacionnordelta.org&change_quantity=0&language=es
Corresponde a una transacción aparentemente de donación por el monto de ARS$500 a la Fundación Nordelta, quien tiene el correo de contacto donacion@fundacionnordelta.org.
Tambien podemos ingresar a estados de pagos pendientes,
Claramente corresponde a usuarios de prueba, ya que segun la URL desde donde accedemos: https://checkout.dineromail.com/CheckOut?merchant=1721561&country_id=1&payment_method_available=all&item_name_1=Ejemplo+DVD&item_quantity_1=1&item_ammount_1=12050&payment_method_1=ar_pagofacil&buyer_name=Juan+L.&buyer_lastname=Perez&buyer_sex=m&buyer_document_type=dni&buyer_document_number=12345678&buyer_phone=12345678&buyer_email=dineromail.text.checkout.002@gmail.com, el nombre del item es “Ejemplo DVD”, el correo del comprador es dineromail.text.checkout.002@gmail.com y con numero de documento y teléfono de pruebas 12345678.
Google indexa aproximadamente 150 direcciones (segun sus resultados)
Es importante que las empresas que manejan este y otro tipo de información protejan correctamente los datos de sus usuarios.
Información Importante Sobre el Contenido
Estas accediendo al contenido antiguo del blog. Este artículo "Información de las transacciones de Dineromail expuesta en Internet" es de dominio público y no será mantenido a futuro. Cualquier error o problema acerca del contenido por favor contactate conmigo desde la sección contacto.
noviembre 29, 2012 a las 4:21 pm
mmm no son muchos datos en todo caso… Es muy caro colocar un robots.txt
noviembre 29, 2012 a las 4:27 pm
hola DoctorPC!
Si, es poca info, pero aun asi, incluso siendo informacion de prueba, estan cometiendo dos errores:
1) Pasar ese tipo de parametros por URL
2) Permitir que sea indexado
diciembre 17, 2012 a las 2:27 pm
Compadre, eso no es una vulnerabilidad, es un mecanismo que está diseñado para funcionar así ya que no funciona con sesiones, es para facilitar transacciones a administradores que apenas saben programar…
diciembre 18, 2012 a las 5:24 pm
En todo caso, esto ahorra investigar sobre un site.. ya tenes un poco de info para arrancar algun exploit…