Уязвимость в Perfect Money позволяла приобрести любой товар за 1 цент (обновление 2)

image

Теги: уязвимость, мошенничество

Уязвимость заключалась в том, что злоумышленник мог передать специально сформированные данные сценарию интернет магазина и осуществить покупку произвольных товаров по любой цене.

Как стало известно редакции SecurityLab, платежная система Perfect Money с лета этого года содержала уязвимость, которая позволяла злоумышленникам приобрести товар любой стоимости в интернет магазине всего за 1 цент. По имеющимся у нас скриншотам административной панели Perfect Money одного интернет магазина, злоумышленники сумели приобрести товары на сумму 1520$ уплатив при этом 4 цента.

Уязвимость заключалась в том, что злоумышленник мог передать специально сформированные данные сценарию интернет магазина и осуществить покупку произвольных товаров по любой цене. В настоящий момент уязвимость закрыта компанией Perfect Money. Нам известно о 4-х случаях мошенничества, но их может быть значительно больше.

Нам удалось пообщаться с администратором обменника электронных денег ok-change.com Константином Романовским.

SecurityLab: Хотелось бы получить информацию, если возможно, по потенциальной уязвимости в Perfect Money

Константин: да я готов рассказать об этой истории, с точки зрения именно истории.
Потому, что после нашей записи в блоге они запретили использование символа : в PAYMENT_BATCH_NUM при этом не признав, что такая ошибка вообще существовала. Однако у нас есть информация, что ошибка имела место быть с лета этого года и есть доказательства того что описанная нами схема мошенничества работала.

SecurityLab: еще уточните пожалуйста, в форумах обсуждалась возможность блокировки уязвимости путем фильтрации входных данных на стороне интернет магазина. Можно ли было таким способом защититься от эксплуатации уязвимости?

Константин: теоретически конечно это может быть проверено, но эти возможности а) не описаны в документации б) довольно сложны (например, можно поверять что отправитель IPN это сайт PM - нужно знать с каких адресов PM может слать свои IPN или можно через API перфекта смотреть реальное поступление денег на счете и сравнивать с данными в IPN). Поэтому как не трудно догадаться большинство магазинов этого не делали.

Обновление 1:

Мы получили официальный ответ от компании Perfect Money от Andrew Draper

Hello Securitylab,
We find out a huge black PR campaign was maid by our competitor OKPAY. By that way they are trying to reach our audience and to convince them to use their payment system. We didn't have any vulnerability in our API system and we are not appreciate OKPAY way of doing business. We are going to take a measures about that issues.

Компания Perfect Money отрицает наличие уязвимости в их платежной системе, и обвиняют компанию OKPAY в черном пиаре и попытках очернить репутацию своего конкурента.

Обновление 2:

Представители компании OKPAY предоставили SecurityLab доступ к своей учетной записи в платежной системе Perfect Money, чтобы мы могли удостовериться в существовании уязвимости. Ниже размещен скриншот, на котором видны транзакции, позволившие мошенникам приобрести товары за 0.1$. Также, нам стало известно, что еще одна компания потеряла около 10 000$ вследствие мошеннических действий.

Сегодня утром, как нам стало известно, представители компании Perfect Money заблокировали учетные записи компаний, представители которых сообщали об этой бреши.

Константин Романовский, администратор обменника электронных денег ok-change.c, так прокомментировал заявление компании Perfect Money:

«Я был неприятно удивлен тем, что представитель Perfect Money не признал наличие критической уязвимости, из-за которой клиенты этой компании и мы в том числе понесли существенные убытки.

Более того, Perfect Money в лице г-на Andrew Draper пытаются увести внимание общественности от явного просчета в безопасности в их системе в сторону "черного пиара" со стороны компании OKPAY. Хотя мы связались со службой поддержки еще до того, как предали этот факт огласке. Ответ Perfect Money был примерно таким же, какой вы видите выше в комментарии г-на Andrew Draper, мол "ничего не было, это черный пиар".

Скрывать очевидное - это, мягко говоря, не очень разумный способ решения данной проблемы. Особенно для финансовой компании, в основе которой должно лежать доверие клиентов.»


или введите имя

CAPTCHA
Страницы: 1  2  
Ёжик
09-11-2010 14:06:02
securitylab - молодцы что не перевели механизм взлома. PM - чем они думали когда единственная защита была основана на MD5? И откуда у них руки растут, руки которые написали такой алгоритм подписи?
0 |
Alexey
09-11-2010 15:45:12
Да то, что MD5 не так страшно. (Тогда атака была бы точечной, при подборе слова по MD5.) Страшно то, что их сервер подписывал (сейчас они защитились от ЭТОЙ инъекции) что угодно этим MD5 =) Т.е. какое слово ни придумывай - ты всё равно подвержен угрозе.
0 |
ОАО Молоко
09-11-2010 16:35:03
Спасибо ребятам, которые обнаружили уязвимость. На всякий случай сделаю у себя проверку по-серьезнее.
0 |
Кагор
09-11-2010 20:36:49
Как я понял в мерчанте PM, появление мошенников подменяющих сумму к оплате возможно после того как в OKPAY поменяли DNS. А OKPAY не удосужились проверить ни IP запроса на оплату, ни сертификат SSL. Т.е OKPAY сами криворукие. Ну и PM тоже отметились, их подпись данных - фикция. Данные меняются, подпись остается.
0 |
Денис
09-11-2010 20:44:26
Кагор, никакого DNS OKPAY или другого магазина не нужно было менять. Читайте первоисточник okpay.livejournal.com. Схема проста, но сейчас ПМ уже ее пофиксила. За время существования дары у немалого кол-ва людей связавшимися с Perfect Money были украдены деньги, но сама ПМ не признается и никогда не признается.
0 |
Кагор
09-11-2010 21:17:59
Первоисточник это описание API PM, но его я не нашел даже на их сайте (публичная часть). Поскольку я различаю как надо, а как сделали. Дорогу рекомендуется переходить на зеленый, но некоторые и на красных ходят. А как закрыли дырку?
0 |
Alexey
09-11-2010 21:46:29
А ты всё-таки прочитай, в чём она была. Тогда понять - как её закрыть очень просто SSL и DNS тут не причём. Дырка в IPN. Это сервис, который САМ дёргает ТВОЙ сайт. Только ты и он знает секретное слово, поэтому ты ему доверяешь. А он тебя подставляет.
0 |
Страницы: 1  2