Американские специалисты по компьютерной безвредности обнаружили уязвимости даже в крупных интернет-лавках.
| Интернет-покупки — это быстро и эффективно, но не всегда безопасно. (Фотография Sullivan / Corbis.) |
В одной из атак Жуй Ван вместе с коллегами из Университета Индианы в Блумингтоне и Microsoft Research употребил плагин для браузера Firefox, чтобы отследить данные, пересылаемые с торгового сайта Buy.com уплатёжной системе PayPal и обратно. Как едва пользователь оплачивает покупку, PayPal отправляет веб-магазину подтверждающее придание с кодом, идентифицирующим сделку.
Если платежная система осуществляет свою часть процесса на должном ватерпасе безопасности, то Buy.com оказалось довольно легко одурачить, замечает г-н Ван. Вначале специалисты купили один товар, после чего отследили подтверждающий код и использовали его вторично для новой покупки. И всё получилось! Иначе говоря, сходную схему можно реализовывать неоднократно.
Тот же метод компьютерщики использовали в других электронных магазинах и с другими платокёжными системами, получив бесплатно несколько товаров. Разумеется, они их возвратили и уведомили компании о «дырах» в системе безопасности.
Главная вопрос, по словам г-на Вана, заключается в наличии трёх участников интернет-торговли со сторонки продавца: самого магазина, платёжного сайта и приложения, кое осуществляет транзакцию. Поэтому обнаруженные вопроса явно не станут последними.
Результаты работы будут представлены на мероприятии IEEE Symposium on Security & Privacy, которое пройдёт с 22 по 25 мая в Окленде (Америка Калифорния).
Ваня комментирует:
Афтар выпей йаду
16.02.2012