edición general
412 meneos
8093 clics

Descubren cómo comprar gratis pagando con PayPal, Amazon Payments o Google Checkout

Se han descubierto varios fallos en la lógica de la comunicación de las principales páginas web de tiendas con servicios de terceros destinados al pago on-line (tipo PayPal), que permitían obtener productos de forma gratuita o a un precio arbitrario. Investigadores de la Universidad de Indiana (Rui Wang y XiaoFeng Wang) y Microsoft Research descubrieron fallos en la lógica de comunicación de las principales tiendas online que utilizaban servicios de pago de terceros como PayPal, Amazon Payments o Google Checkout.

| etiquetas: seguridad , paypal , google , amazon , hacking
200 212 6 K 467 mnm
46 comentarios
200 212 6 K 467 mnm
Comentarios destacados:            
  1. #1 P5A5C5M
    Venga joder que alguien cuelgue el exploit!!!
    11 K 89
  2. Vichejo #2 Vichejo
    xD y mira que lo dige me suena muy raro que nadie se pueda meter por medio de estas transacciones
    0 K 7
  3. Vichejo #3 Vichejo
    #1 supongo que el sabio google te indica el camino, pero si esta publicado en masa no tardará en ser inmunizado pienso
    0 K 7
  4. Vichejo #4 Vichejo
    el que ha votado errónea debe ser que confía en la seguridad de internet xD
    8 K 84
  5. ElPerroDeLosCinco #5 ElPerroDeLosCinco
    Lo que es de ser inútil es descubrir cómo comprar gratis y publicarlo. xD
    53 K 431
  6. #6 P5A5C5M
    #5 Seguro que más de uno ya lo ha hecho, sobre todo con el tema de los apartados postales virtuales, lo mandas a uno de USA, luego al UK, luego de vuelta a USA y a ver quien sigue el rastro del paquete entre empresas de diferentes países.
    1 K 17
  7. levante_star #7 levante_star
    Desde luego si se vota errónea debería explicarse un poco, porque unaaldia no son precísamente unos novatos.
    1 K 17
  8. #8 wendigo
    #5 Es que antes de publicarlo, se lo comunicaron a las empresas y ayudaron a solucionarlo, para luego presentar los datos utilizados.

    Saludos
    0 K 11
  9. ElPerroDeLosCinco #9 ElPerroDeLosCinco *
    #8 Ejem... yo me refería a que lo suyo en este caso sería aprovecharse del resquicio descubierto y comprar a saco. Aunque yo nunca lo haría, of course. ;)
    1 K 17
  10. rodia #10 rodia
    Ahora sí que me compro una cuenta de Spotify.
    5 K 55
  11. #11 --240407--
    Eso de "comprar gratis" esta mal, deberia poner robar o en todo caso estafar, que seria lo mas adecuado, al menos a mi me lo parece.
    41 K 321
  12. ochoceros #12 ochoceros
    #5 Qué pena que no lo descubriese Anonymous... xD
    2 K 21
  13. #13 --139155--
    ¿Comprar gratis? Hay cientos de miles de sinvergüenzas que ya saben cómo se hace. Lo practican a diario, especialmente en sitios como ebay.
    0 K 8
  14. MEV #14 MEV *
    #12 Sería grandioso, la de trolleadas que podrían hacer xD

    #13 Siempre he tenido esa duda respecto a Ebay. Se conocen los casos de timos por parte de vendedores, ¿pero los compradores qué timan qué suelen hacer?
    ¿Si no te pagan no haces el envío no?
    0 K 8
  15. #15 --243135--
    Es raro que no tengan tanta seguridad en estas webs. Lo que pasa es que cada vez más el conocimiento sobre webs y temas de seguridad lo sabe más gente y es más facil de poder abrir ciertas "grietas" en la seguridad.
    0 K 6
  16. #16 globulina
    #6 Sobretodo si lo envían a España y lo coge Speedtrans
    2 K 23
  17. Fesavama #17 Fesavama
    ...Investigadores de la Universidad de Indiana (Rui Wang y XiaoFeng Wang)...

    Diréis que soy una malpensada, pero lo que no descubran los chinos... xD
    1 K 25
  18. joffer #18 joffer
    #11 en realidad tampoco es robar. Es una compra y como tal queda registrada aparentemente todo legal. En todo es engañar al sistema.
    4 K 14
  19. #19 --240407-- *
    #18 por eso dije estafar. Y si, es una estafa en toda regla. Igual que si pagas con dinero falso, eso que llamas engañar al sistema es un delito penado. En internet tambien existe la responsabilidad y los delitos. Si yo hackeo los servidores de un banco y consigo acceso a cuentas bancarias sacando dinero no estoy engañando al sistema, estoy robando y voy a la carcel. Pues en este caso es una estafa y que me preocupa esque hubiera gente que se planteara utilizarlo. A ver si nos creemos que esto es un juego que pido una xbox y me la traen gratis..Asumo de todas formas que la gente lo dice de cachondeo, no me veo yo a todo el mundo estafando.
    5 K 31
  20. kucho #20 kucho
    #1 lee la noticia.
    1 K 13
  21. #21 --199013--
    #19
    ¿Pero aquí han hackeado o simplemente han hecho la rutina de pagar y se han encontrado con que no les han cobrado nada?
    0 K 10
  22. Alvarosky #22 Alvarosky *
    #17 Ya veo que no soy el único al que no le ha sonado extraño que los dos "descubridores" del agujero sean chinos... :-O
    2 K 34
  23. #23 --195877--
    #18 Claro, claro.... engañar. :palm:

    Aquí la publicación www.informatics.indiana.edu/xw7/papers/caas-oakland-final.pdf
    1 K 15
  24. SHION #24 SHION
    #13 Exacto :-D y a los compradores no se les puede ya votar negativo y para ebay ellos siempre tienen la razón.
    0 K 10
  25. #25 dm4c *
    Mierda, se me acabo el chollo! :palm:
    0 K 6
  26. #26 --240407--
    #21 Eso de hackear es un termino ambiguo, en este caso se trata de un exploit, y como todo exploit se basa en errores de programacion. Si no existen errores no se podria "hackear" nada, pero eso no hace que sea legal.
    0 K 7
  27. timeout #27 timeout
    Si leyéramos los articulo hasta el final se vería porque hay gente que ha votado errónea. Es cierto que se descubrieron las vulnerabilidades, peor también es cierto que los afectados fueron informados y que estos trabajaron para arreglar los fallos
    2 K 23
  29. DarkJuanMi #29 DarkJuanMi
    Los sistemas de seguridad jamás son perfectos. Esperemos que lo solucionen pronto.
    0 K 6
  30. nepali #30 nepali
    #29 el dia que te leas las noticias :-)
    4 K 44
  31. chamarilero #31 chamarilero
    Cuando me pagan en ebay a través de paypal,entro en mi cuenta paypal y retiro el total,descontando el 5% que cobra paypal de comisión,pasados unos 2-3 días tengo el ingreso en mi cuenta corriente,entonces envío el artículo,son equipos de música y no sellos, así que no arriesgo,como medio de pago lo utiliza el 75% de mis compradores y si no ofrezco este medio de pago mis ventas pueden bajar en un 50%,vender fuera de España sin ofrecer paypal es casi imposible.
    0 K 6
  32. #32 --199013--
    #26
    Para encontrar exploits debes hacer algunos hacks, y para hacerlos puedes servirte de entradas malformadas que el programa o sistema en cuestión se trague. Y para hacerlo no tiene porqué ser a propósito ni a mala fe.

    Por otro lado los exploits no siempre son errores de programación. Pueden también ser debidos a un error de diseño.
    0 K 10
  33. #33 killgt
    #28 Si mal no recuerdo, al menos con los TPV que yo he implementado, había una URLok Y URLerronea, que parece ser que es la que usas para recibir el pago. Hay una tercera en la que el servidor del banco contacta con un script que tu indiques y notifica el pago, ahorrándote la confirmación insegura que estas haciendo.
    Estas cosas hay que pensarlas bien...
    0 K 6
  34. yonni #34 yonni
    He trabajado desarrollando una aplicación web con sistemas de pago a paypal y servired.

    Creo que no tiene mucho sentido lo que habla esta noticia: hablan de modificar las comunicaciones entre el cliente y el sistema de pago, para modificar el importe de la venta.
    Normalmente los sistemas de pago (paypal y servired así lo hacen) avisan al servidor de la tienda de que se ha producido un pago a cierto identificador, por cierta cantidad. Esta comunicación no pasa por el cliente, por lo que no tiene control sobre ella, y se produce después de que se haya producido el pago.
    Es esta comunicación la que hace que el pago se confirme, por ser fiable (paypal la firma)
    En el caso de que el cliente trastee, se notaría en seguida, avisando al administrador, y no marcando como pagada la venta.
    2 K 26
  35. Viruso #35 Viruso
    El regreso de Automatische Incasso ?
    0 K 8
  36. mefistófeles #36 mefistófeles
    Pues he leído la noticia, y no sé si será que me acabo de levantar de la siesta cervecera del sábado o mi innata incapacidad tecnológica, pero no me he enterado de nada....

    Lástima, yo que le iba a regalar un viaje a mi mujer.... :-)
    0 K 11
  37. DarkJuanMi #37 DarkJuanMi
    #30 Solo he podido leer la entrada y los comentarios, no me cargaba la pagina ;?
    1 K 12
  39. nepali #39 nepali
    #37 lo siento no he podido aguantarme, buen fin de semana :-)
    0 K 6
  40. #40 --45633--
    #38 comentarios xenófobos, racistas o difamatorios causarán la anulación de la cuenta
    3 K 33
  41. Jose_Luis_Bernal #41 Jose_Luis_Bernal
    Bien! Ahora Lo sabe todo el mundo :-)
    0 K 7
  42. Truck #42 Truck
    #11 Todo el mundo sabe que robar y estafar se utiliza especialmente cuando te descargas música o películas de Internet, nunca en otro contexto.
    2 K 21
  43. #43 --158000--
    #40 Gracias Pepito Grillo.

    Joder que fina se pone la gente con lo del "politicamente correcto", espero que no se le haya caido a nadie el monóculo en el té por mi comentario.
    0 K 8
  44. #44 --74690--
    Rui Wang y XiaoFeng Wang (...) descubrieron fallos en la lógica de comunicación de las principales tiendas online... ¡y se pusieron a pedir cosas al Teletienda! xD xD xD
    1 K 15
  45. manudolferas #45 manudolferas
    YO llevo con paypal haciendolo bastante tiempo!
    0 K 6
  46. Engel_des_Chaos #46 Engel_des_Chaos
    por lo que veo son todo problemas de los propios comercios, que no verifican las transacciones correctamente ...
    0 K 6
comentarios cerrados

menéame