account takeover https://teamplay.qiwi.com
Discovered by lincoln9932 on Qiwi

This issue took 1 Days and 14 hours to triage and 212 Days and 22 hours to close the report once triaged.



Здравствуйте. Нашел баг, как украсть аккаунт на данном сайте. Для того, чтобы это провернуть нам нужно знать эмайл вашего пользователя.

Предположим что пользователь зашел на ваш сайт через аккаунт ВКонтакте, к его странице привязана почта <a title="[email protected]" href="mailto:[email protected]" rel="nofollow noopener noreferrer">[email protected]</a>

Мы идем на <a title="https://www.faceit.com&quot; href="/redirect?signature=facb06c26a4c033f2faa0313d8a247d2410f9208&amp;url=https%3A%2F%2Fwww.faceit.com" target="_blank" rel="nofollow noopener noreferrer"><span>https://www.faceit.com&lt;/span&gt;&lt;i class="icon-external-link"></i></a> и регистрируем там аккаунт с почтой <a title="[email protected]" href="mailto:[email protected]" rel="nofollow noopener noreferrer">[email protected]</a> а так как там нет подтверждения почты, она спокойно регистрируется.

Заходим на <a title="https://teamplay.qiwi.com&quot; href="/redirect?signature=4f55799b81d059f626d5b5d7214f24eaef334b32&amp;url=https%3A%2F%2Fteamplay.qiwi.com" target="_blank" rel="nofollow noopener noreferrer"><span>https://teamplay.qiwi.com&lt;/span&gt;&lt;i class="icon-external-link"></i></a> с помощью фейсита и мы попадаем в уже зарегестрированный аккаунт пользователя на сайте <a title="https://teamplay.qiwi.com&quot; href="/redirect?signature=4f55799b81d059f626d5b5d7214f24eaef334b32&amp;url=https%3A%2F%2Fteamplay.qiwi.com" target="_blank" rel="nofollow noopener noreferrer"><span>https://teamplay.qiwi.com&lt;/span&gt;&lt;i class="icon-external-link"></i></a>

При этом выпадает какая-то ошибка. Это косвенно намекает на проблемы в авторизации.

Impact<br> account takeover