Información de las transacciones de Dineromail expuesta en Internet

DineroMail es una plataforma de pagos, con presencia en Argentina, Brasil, Chile, Colombia y México, que te permite cobrar y recibir pagos online.
Como es comun con este tipo de medios de pago, las empresas o tiendas comerciales implementan el típico “botón de pago” mediante el cual realizan el pago. El proceso de pago se realiza mediante el subdominio checkout.dineromail.com, al cual se le entregan distintos parametros mediante GET y POST con la información de la transacción.

Con una simple busqueda en Google podemos obtener un listado completo con información de las transacciones realizadas, muchas de ellas corresponden a transacciones de prueba pero existen algunas que no parecen serlo, aunque de todas formas ¿por qué hacen pruebas en producción?

Para poder acceder a este listado de transacciones debemos buscar en Google site:checkout.dineromail.com y analizar los resultados, por ejemplo analizamos un par de resultados obtenidos:

URL indexada: https://checkout.dineromail.com/CheckOut?country_id=1&merchant=1427800&language=es&currency=ars&payment_method_available=ar_dm&item_currency_1=ars&item_name_1=Cuenta%20Premium%20DepositFiles%2014%20Dias&item_quantity_1=1&item_ammount_1=3500&seller_name=MegaCuentas.com

Corresponde a una transacción de pago del vendedor MegaCuentas.com por un valor de ARS$35,00

URL indexada: https://checkout.dineromail.com/CheckOut?country_id=1&seller_name=Fundaci%C3%B3n%20Nordelta&item_name_1=Donaci%C3%B3n&item_quantity_1=1&item_ammount_1=500.00&item_currency_1=ars&payment_method_available=ar_tnaranja,1;ar_cabal,1;ar_tshopping,1;ar_italcred,1;ar_visa,1;ar_master,1;ar_amex,1;&tool=button&merchant=donacion@fundacionnordelta.org&change_quantity=0&language=es

Corresponde a una transacción aparentemente de donación por el monto de ARS$500 a la Fundación Nordelta, quien tiene el correo de contacto donacion@fundacionnordelta.org.

 

Tambien podemos ingresar a estados de pagos pendientes,

Claramente corresponde a usuarios de prueba, ya que segun la URL desde donde accedemos: https://checkout.dineromail.com/CheckOut?merchant=1721561&country_id=1&payment_method_available=all&item_name_1=Ejemplo+DVD&item_quantity_1=1&item_ammount_1=12050&payment_method_1=ar_pagofacil&buyer_name=Juan+L.&buyer_lastname=Perez&buyer_sex=m&buyer_document_type=dni&buyer_document_number=12345678&buyer_phone=12345678&buyer_email=dineromail.text.checkout.002@gmail.com, el nombre del item es “Ejemplo DVD”, el correo del comprador es dineromail.text.checkout.002@gmail.com y con numero de documento y teléfono de pruebas 12345678.

Google indexa aproximadamente 150 direcciones (segun sus resultados)

 

Es importante que las empresas que manejan este y otro tipo de información protejan correctamente los datos de sus usuarios.

4 comentarios

  1. mmm no son muchos datos en todo caso… Es muy caro colocar un robots.txt

  2. hola DoctorPC!

    Si, es poca info, pero aun asi, incluso siendo informacion de prueba, estan cometiendo dos errores:

    1) Pasar ese tipo de parametros por URL

    2) Permitir que sea indexado

  3. Compadre, eso no es una vulnerabilidad, es un mecanismo que está diseñado para funcionar así ya que no funciona con sesiones, es para facilitar transacciones a administradores que apenas saben programar…

  4. En todo caso, esto ahorra investigar sobre un site.. ya tenes un poco de info para arrancar algun exploit…

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.