Уязвимость в Perfect Money позволяла приобрести любой товар за 1 цент
Как стало известно редакции SecurityLab, платежная система Perfect Money с лета этого года содержала уязвимость, которая позволяла злоумышленникам приобрести товар любой стоимости в интернет магазине всего за 1 цент. По имеющимся у нас скриншотам административной панели Perfect Money одного интернет магазина, злоумышленники сумели приобрести товары на сумму 1520$ уплатив при этом 4 цента.
Нам удалось пообщаться с администратором обменника электронных денег ok-change.com Константином Романовским.
SecurityLab: Хотелось бы получить информацию, если возможно, по потенциальной уязвимости в Perfect Money
Константин: да я готов рассказать об этой истории, с точки зрения именно истории.
Потому, что после нашей записи в блоге они запретили использование символа : в PAYMENT_BATCH_NUM при этом не признав, что такая ошибка вообще существовала. Однако у нас есть информация, что ошибка имела место быть с лета этого года и есть доказательства того что описанная нами схема мошенничества работала.
SecurityLab: еще уточните пожалуйста, в форумах обсуждалась возможность блокировки уязвимости путем фильтрации входных данных на стороне интернет магазина. Можно ли было таким способом защититься от эксплуатации уязвимости?
Константин: теоретически конечно это может быть проверено, но эти возможности а) не описаны в документации б) довольно сложны (например, можно поверять что отправитель IPN это сайт PM - нужно знать с каких адресов PM может слать свои IPN или можно через API перфекта смотреть реальное поступление денег на счете и сравнивать с данными в IPN). Поэтому как не трудно догадаться большинство магазинов этого не делали.
www.securitylab.ru