Як стала вядома рэдакцыі SecurityLab, аплатная сістэма Perfect Money з лета гэтага года ўтрымоўвала ўразлівасць, якая дазваляла зламыснікам набыць тавар любога кошту ў інтэрнэт краме ўсяго за 1 цэнт. Па наяўных у нас скрыншотам адміністрацыйнай панэлі Perfect Money аднаго інтэрнэт крамы, зламыснікі здолелі набыць тавары на суму 1520$ выплаціўшы пры гэтым 4 цэнта.

Уразлівасць складалася ў тым, што зламыснік мог перадаць адмыслова сфармаваныя дадзеныя сцэнару інтэрнэт крамы і ажыццявіць куплю адвольных тавараў па любым кошце. У сапраўдны момант уразлівасць зачыненая кампаніяй Perfect Money. Нам вядома аб 4-х выпадках махлярства, але іх можа быць значна больш.

Нам атрымалася пагутарыць з адміністратарам абменніка электронных грошай ok-change.com Кастусём Раманоўскім.

SecurityLab: Жадалася бы атрымаць інфармацыю, калі магчыма, па патэнцыйнай уразлівасці ў Perfect Money

Кастусь: ды я готаў распавесці аб гэтай гісторыі, з пункта гледжання менавіта гісторыі.
Таму, што пасля нашага запісу ў блогу яны забаранілі выкарыстанне знака : у PAYMENT_BATCH_NUM пры гэтым не прызнаўшы, што такая памылка наогул існавала. Аднак у нас ёсць інфармацыя, што памылка мела месца быць з лета гэтага года і ёсць доказы таго што апісаная намі схема махлярства працавала.

SecurityLab: яшчэ ўдакладніце калі ласка, у форумах абмяркоўвалася магчымасць блакавання ўразлівасці шляхам фільтравання ўваходных дадзеных на боку інтэрнэт крамы. Ці можна было такім спосабам абараніцца ад эксплуатацыі ўразлівасці?

Кастусь: тэарэтычна вядома гэта можа быць праверана, але гэтыя магчымасці а) не апісаныя ў дакументацыі бы) даволі складаныя (напрыклад, можна поверять што адпраўнік IPN гэта сайт PM - трэба шляхта з якіх адрасоў PM можа слаць свае IPN або можна праз API перфекта глядзець рэальнае паступленне грошай на рахунку і параўноўваць з дадзенымі ў IPN). Таму як не цяжка здагадацца большасць крам гэтага не рабілі.

рэкамендуем прачытаць таксама

• G.Skill Perfect Storm DDR3-2000 3GB/6GB – яшчэ два камплекта памяці для экстрэмалаў
• Nokia прадставіла мабільны фінансавы сэрвіс Money
• Кампанія AOL запускае новую праграму AIM Money
• Самарскі студэнт перапампоўваў грошы карыстачоў «Web Money» на свой рахунак
• Аўдыторыя праектаў AOL вырасла на 11% за год

Каментаванне не дазволенае.