Специалисты OKPAY нашли дыру в Perfect Money?

В начале ноября на ряде форумов появились сообщения, серьезно компрометирующие систему интернет-платежей Perfect Money.

В своих постах пользователи ссылались на публикацию компании OKPAY Inc. в ЖЖ. В ней утверждалось, что сотрудники службы информационной безопасности OKPAY обнаружили в Perfect Money уязвимость, позволяющую предоставить ложную информацию об оплате заказа.

По словам представителей OKPAY, злоумышленник имеет возможность имитировать перевод денег в Perfect Money, заплатив за это символически мизерную сумму в 10 центов. Для этого необходимо нехитрым способом изменить информацию для оплаты товара, после чего система Perfect Money отправит продавцу ложную информацию, о том, что счет был якобы полностью оплачен. Убедиться в фактической недостаче средств продавец может только после авторизации в платежной системе и проверки своего баланса.

Уязвимость позволяет ввести в заблуждение большинство интернет-магазинов, использующих сервис уведомлений о платежах (IPN) от PerfectMoney, утверждают специалисты. Свои слова они подтверждают техническими подробностями: инструкциями и фрагментами программных кодов, в которых была обнаружена уязвимость.

Интересно, что данная информация была неоднозначно воспринята форумчанами. Некоторые поспешили проверить приведенные инструкции, убедиться в их неработоспособности и опровергнуть выкладки OKPAY, упрекнув компанию в дешевом пиаре. А кто-то заявил, что, обнаруженная "дыра" уже позволила взломать не один онлайн-обменник.

Странно другое - ни одно из сообщений по этой теме на русскоязычных форумах сейчас не удается прочитать. Темы удалены, и только сохраненные копии страниц из поисковиков позволяют получить сколь-нибудь явное подтверждение недавним обсуждениям. Между тем, англоязычный пост OKPAY в ЖЖ со всеми техническими выкладками остается нетронутым. Не исключено, что в Perfect Money уже отреагировали на тревожный сигнал и прикрыли уязвимость, если она вообще была.


https://moneynews.ru/News/14492/

Зачем здесь этот баян?

09.11.2010

Окпей - не первые, кто нашел, но первые, кто решил пропиариться на этом

Да, но факт, что её убрали только после того, как о ней написали Считаю OKPAY помог всем пользователям PM

Вообще я передал им инфу о проблеме ещё в июле-августе.
Поэтому на сколько актуальной была проблема в ноябре - ещё не ясно.
Все, кто знал - залатались. Видать окпей узнал, когда деньги начали пропадать.
Открытая публикация такой информации в первую очередь вредит всем сервисам, принимающим ПМ. И уже только потом является инструментом донесения правды.

Вы знали о ней ещё тогда и написали пм, и что они вам ответили
В ноябре ошибка была - https://www.securitylab.ru/news/399350.php

Проблема не в том, что дыра была, проблема в том, как на это отреагировал пм.
При обнаружении уязвимости вначале связались с пм, но толку не было, что и привело к написанию статьи. С другой стороны объявление об уязвимости поспособствовало защите всех мерчантов.

Тот же виндовс, когда находит у себя уязвимость, делает патч и говорит, чтобы все его срочно поставили, так же и окпей дал практические советы клиентам по защите своих денег.

мне лично - ничего, так как я общался с их русскоязічнім представителем на єтом форуме, а он уже перенаправлял в ПМ.
я информацию передал им, знакомым пользователям их мерчанта. Кто заинтересовался - залатал.

Технически, это НЕ проблема на стороне ПМ, а проблема на стороне магазинов в недостаточной обработке входящих параметров.
Основная беда - магазины не проверяли формат батча, который должен быть строго числовым.


В ноябре было написано "В настоящий момент уязвимость закрыта компанией Perfect Money".
Следите за логикой.


в первую очередь хакеры проверяют полученную информацию на всех мерчантах (особенно обменников), а уже только после них мерчанты латаются.

А... так вы ж ОКПЕЙ-пиарщик.
В таком случае закрыто и будет удалено.
Нефиг одно и то же мусолить по сто раз да ещё и с теми же лицами.