Se han descubierto varios fallos en la lógica de la comunicación de las principales páginas web de tiendas con servicios de terceros destinados al pago on-line (tipo PayPal), que permitían obtener productos de forma gratuita o a un precio arbitrario. Investigadores de la Universidad de Indiana (Rui Wang y XiaoFeng Wang) y Microsoft Research descubrieron fallos en la lógica de comunicación de las principales tiendas online que utilizaban servicios de pago de terceros como PayPal, Amazon Payments o Google Checkout.
|
etiquetas: seguridad , paypal , google , amazon , hacking
Saludos
#13 Siempre he tenido esa duda respecto a Ebay. Se conocen los casos de timos por parte de vendedores, ¿pero los compradores qué timan qué suelen hacer?
¿Si no te pagan no haces el envío no?
Diréis que soy una malpensada, pero lo que no descubran los chinos...
¿Pero aquí han hackeado o simplemente han hecho la rutina de pagar y se han encontrado con que no les han cobrado nada?
Aquí la publicación www.informatics.indiana.edu/xw7/papers/caas-oakland-final.pdf
Para encontrar exploits debes hacer algunos hacks, y para hacerlos puedes servirte de entradas malformadas que el programa o sistema en cuestión se trague. Y para hacerlo no tiene porqué ser a propósito ni a mala fe.
Por otro lado los exploits no siempre son errores de programación. Pueden también ser debidos a un error de diseño.
Estas cosas hay que pensarlas bien...
Creo que no tiene mucho sentido lo que habla esta noticia: hablan de modificar las comunicaciones entre el cliente y el sistema de pago, para modificar el importe de la venta.
Normalmente los sistemas de pago (paypal y servired así lo hacen) avisan al servidor de la tienda de que se ha producido un pago a cierto identificador, por cierta cantidad. Esta comunicación no pasa por el cliente, por lo que no tiene control sobre ella, y se produce después de que se haya producido el pago.
Es esta comunicación la que hace que el pago se confirme, por ser fiable (paypal la firma)
En el caso de que el cliente trastee, se notaría en seguida, avisando al administrador, y no marcando como pagada la venta.
Lástima, yo que le iba a regalar un viaje a mi mujer....
Joder que fina se pone la gente con lo del "politicamente correcto", espero que no se le haya caido a nadie el monóculo en el té por mi comentario.