Уязвимость в Perfect Money позволяла приобрести любой товар за 1 цент (обновлено)
Как стало известно редакции SecurityLab, платежная система Perfect Money с лета этого года содержала уязвимость, которая позволяла злоумышленникам приобрести товар любой стоимости в интернет магазине всего за 1 цент. По имеющимся у нас скриншотам административной панели Perfect Money одного интернет магазина, злоумышленники сумели приобрести товары на сумму 1520$ уплатив при этом 4 цента.
Уязвимость заключалась в том, что злоумышленник мог передать специально сформированные данные сценарию интернет магазина и осуществить покупку произвольных товаров по любой цене. В настоящий момент уязвимость закрыта компанией Perfect Money. Нам известно о 4-х случаях мошенничества, но их может быть значительно больше.
Редакции портала удалось пообщаться с администратором обменника электронных денег ok-change.com Константином Романовским.
SecurityLab: Хотелось бы получить информацию, если возможно, по потенциальной уязвимости в Perfect Money
Константин: да я готов рассказать об этой истории, с точки зрения именно истории.
Потому, что после нашей записи в блоге они запретили использование символа : в PAYMENT_BATCH_NUM при этом не признав, что такая ошибка вообще существовала. Однако у нас есть информация, что ошибка имела место быть с лета этого года и есть доказательства того что описанная нами схема мошенничества работала.
SecurityLab: еще уточните пожалуйста, в форумах обсуждалась возможность блокировки уязвимости путем фильтрации входных данных на стороне интернет магазина. Можно ли было таким способом защититься от эксплуатации уязвимости?
Константин: теоретически конечно это может быть проверено, но эти возможности а) не описаны в документации б) довольно сложны (например, можно поверять что отправитель IPN это сайт PM – нужно знать с каких адресов PM может слать свои IPN или можно через API перфекта смотреть реальное поступление денег на счете и сравнивать с данными в IPN). Поэтому как не трудно догадаться большинство магазинов этого не делали.
SecurityLab приводит официальный ответ полученный от компании Perfect Money от Andrew Draper
Hello Securitylab,
We find out a huge black PR campaign was maid by our competitor OKPAY. By that way they are trying to reach our audience and to convince them to use their payment system. We didn’t have any vulnerability in our API system and we are not appreciate OKPAY way of doing business. We are going to take a measures about that issues.
Компания Perfect Money отрицает наличие уязвимости в их платежной системе, и обвиняют компанию OKPAY в черном пиаре и попытках очернить репутацию своего конкурента.
