Уязвимость в Perfect Money позволяла приобрести любой товар за 1 цент (обновление 2)

image

Теги: уязвимость, мошенничество

Уязвимость заключалась в том, что злоумышленник мог передать специально сформированные данные сценарию интернет магазина и осуществить покупку произвольных товаров по любой цене.

Как стало известно редакции SecurityLab, платежная система Perfect Money с лета этого года содержала уязвимость, которая позволяла злоумышленникам приобрести товар любой стоимости в интернет магазине всего за 1 цент. По имеющимся у нас скриншотам административной панели Perfect Money одного интернет магазина, злоумышленники сумели приобрести товары на сумму 1520$ уплатив при этом 4 цента.

Уязвимость заключалась в том, что злоумышленник мог передать специально сформированные данные сценарию интернет магазина и осуществить покупку произвольных товаров по любой цене. В настоящий момент уязвимость закрыта компанией Perfect Money. Нам известно о 4-х случаях мошенничества, но их может быть значительно больше.

Нам удалось пообщаться с администратором обменника электронных денег ok-change.com Константином Романовским.

SecurityLab: Хотелось бы получить информацию, если возможно, по потенциальной уязвимости в Perfect Money

Константин: да я готов рассказать об этой истории, с точки зрения именно истории.
Потому, что после нашей записи в блоге они запретили использование символа : в PAYMENT_BATCH_NUM при этом не признав, что такая ошибка вообще существовала. Однако у нас есть информация, что ошибка имела место быть с лета этого года и есть доказательства того что описанная нами схема мошенничества работала.

SecurityLab: еще уточните пожалуйста, в форумах обсуждалась возможность блокировки уязвимости путем фильтрации входных данных на стороне интернет магазина. Можно ли было таким способом защититься от эксплуатации уязвимости?

Константин: теоретически конечно это может быть проверено, но эти возможности а) не описаны в документации б) довольно сложны (например, можно поверять что отправитель IPN это сайт PM - нужно знать с каких адресов PM может слать свои IPN или можно через API перфекта смотреть реальное поступление денег на счете и сравнивать с данными в IPN). Поэтому как не трудно догадаться большинство магазинов этого не делали.

Обновление 1:

Мы получили официальный ответ от компании Perfect Money от Andrew Draper

Hello Securitylab,
We find out a huge black PR campaign was maid by our competitor OKPAY. By that way they are trying to reach our audience and to convince them to use their payment system. We didn't have any vulnerability in our API system and we are not appreciate OKPAY way of doing business. We are going to take a measures about that issues.

Компания Perfect Money отрицает наличие уязвимости в их платежной системе, и обвиняют компанию OKPAY в черном пиаре и попытках очернить репутацию своего конкурента.

Обновление 2:

Представители компании OKPAY предоставили SecurityLab доступ к своей учетной записи в платежной системе Perfect Money, чтобы мы могли удостовериться в существовании уязвимости. Ниже размещен скриншот, на котором видны транзакции, позволившие мошенникам приобрести товары за 0.1$. Также, нам стало известно, что еще одна компания потеряла около 10 000$ вследствие мошеннических действий.

Сегодня утром, как нам стало известно, представители компании Perfect Money заблокировали учетные записи компаний, представители которых сообщали об этой бреши.

Константин Романовский, администратор обменника электронных денег ok-change.c, так прокомментировал заявление компании Perfect Money:

«Я был неприятно удивлен тем, что представитель Perfect Money не признал наличие критической уязвимости, из-за которой клиенты этой компании и мы в том числе понесли существенные убытки.

Более того, Perfect Money в лице г-на Andrew Draper пытаются увести внимание общественности от явного просчета в безопасности в их системе в сторону "черного пиара" со стороны компании OKPAY. Хотя мы связались со службой поддержки еще до того, как предали этот факт огласке. Ответ Perfect Money был примерно таким же, какой вы видите выше в комментарии г-на Andrew Draper, мол "ничего не было, это черный пиар".

Скрывать очевидное - это, мягко говоря, не очень разумный способ решения данной проблемы. Особенно для финансовой компании, в основе которой должно лежать доверие клиентов.»


comments powered by Disqus