Группа исследователей провели практическую атаку на крупнейшие сайты интернет-торговли, которые используют внешние системы приема платежей, для получения товаров бесплатно или по ими установленной цене. «Дыра» в безопасности при обработке онлайн-платежей позволила им приобрести электронику, DVD, электронную подписку на периодику, средства гигиены и другие продукты по ценам, которые они сами себе установили. Исследователи проинформировали соответствующие магазины о найденной бреши в безопасности и помогли её исправить. (Источник: Университет Индианы, Indiana University) В некоторых случаях им удалось убедить интернет-магазины, что они оплатили покупку через внешний сервис платежей (cashier-as-a-service, CaaS) Amazon Payment, тогда как заплатили на собственный коммерческий счёт в Amazon. Исследователи планируют представить подробности в мае [2011 года] на Симпозиуме по безопасности и приватности в г.Окленд, Калифорния, под эгидой Электроинженерного Института (Institute of Electrical and Electronics Engineers). Ведущие коммерческие приложения NopCommerce и Interspire, провайдеры внешних сервисов платежей, такие как Amazon Payments, и некоторые популярные торговые интернет-площадки имеют серьёзные недостатки в логике обработки данных. Это позволяет злоумышленникам воспользоваться несоответствием при передаче статусов платежей между торговыми площадками и внешними сервисами платежей (Amazon Payments, PayPal и Google Checkout). В каждом упомянутом случае исследователи проинформировали о найденных уязвимостях затронутые стороны, вернули неправомерно полученные товары и проконсультировали сервисы о сути найденных ошибок и способах их исправления. сообщил XiaoFeng Wang, со-автор исследования и профессор информатики и компьютерной техники Университета Индианы. По словам исследователей, большинство уязвимостей найдены в торговых приложениях, но часть ответственности лежит и на внешних сервисах платежей. В одном из случаев обнаружилась уязвимость в Amazon Payments’ SDK, что заставило компанию серьёзно изменить способ проверки уведомлений об оплате. Как сказано в отчете, предварительное исследование затронуло только простые трёхзвенные взаимодействия и не рассматривало варианты вовлечения других сторон, как аукционы и комплексные торговые площадки. Скорее всего, такие варианты ещё более уязвимы. По словам ведущего автора данного исследования, аспиранта Rui Wang, Исследовательская группа, которая также включает Shuo Chen и Shaz Qadeer из Microsoft Research (Redmond, Washington), предполагает рассмотреть аналогичные уязвимости, при которых злоумышленник сможет сделать две покупки с большой разницей в цене, после чего вернуть более дешёвую, а возврат средств получить за более дорогую. добавляет Rui Wang. В январе [2011 года] Rui Wang и XiaoFeng Wang, его научный руководитель, а также Shuo Chen, исследователь из Microsoft, были участниками исследовательской команды, которая нашла уязвимость в Facebook. Эта уязвимость позволяла сайтам-злоумышленникам получать и распространять персональные пользовательские данные. Позднее Facebook подтвердил и исправил найденные ошибки. Источник
