Как стать автором
Обновить

Вконтакте и Мастер Банк преподнесли мошенникам на блюдечке великолепную уязвимость, связанную с оплатой банковскими картами

Время на прочтение 2 мин
Количество просмотров 6.7K
Всего голосов 52: ↑47 и ↓5 +42
Комментарии 29

Комментарии 29

Думаю, теперь эту лавочку прикроют с сногсшибательной скоростью.
Вконтакте может и прикроют, но представьте сколько сайтов, подключенных к Мастер Банку придется перевести на новую версию протокола
нисколько, достаточно со стороны мастербанка проверять откуда пришел запрос на платеж.
urlrefferer можно подменить
как вариант.подтягивать инфо о покупке и названии сайта не из POST а из базы, куда эта информация прежде попадает по server-to-server
это делается не по рефереру, каждому клиенту генерируется секретный ключ, с помощью ключа клиент подписывают каждый запрос (как правило обычным MD5 от данных запроса плюс ключ), а на стороне банка подпись проверяется ибо ключ банку известен
главное, чтобы в ключ входило назначение платежа и название сайта, иначе можно с тем же успехом можно заранее нагенерировать ключей из своего аккаунта на произвольную сумму
В ключ ничего входить не должно, у банка есть пара ID клиента и ключ. Ключ известен только клиенту и банку. Мошенник не сможет подписать свой запрос не зная ключа.
я имею ввиду хеш md5
хеш мд5 формируется из всех полей формы куда естественно входит и ID клиента, мало того обычно при этом используется еще и уникальная последовательность полей и ключа при конкатенации
Уязвимости надо публиковать не после уведомления о их существовании, а после их устранения.
то есть никогда?:)
Этот вопрос требует оттдельно обсуждения :)
Опыт показывает что уязвимости фиксятся быстрее будучи доступным паблику. Зачастую крупные компании просто не обращают внимания на уязвимости пока жареный петух в жопу не клюнет.
Здесь, в общем-то, проблема не вконтакта, а банка. Зная про эту дыру, платёж можно отправить куда угодно, а на обновление протокола может уйти много времени.
кому «надо»?
Это «надо» тем, кто может пострадать от использования найденной уязвимости.
верно. зато автору оно не надо, вот он и опубликовал
недели срыва покровов с уязвимостей на Хабре! Ням!
Скорее день, за 1 час уже 3 топика про уязвимости.
Пользуясь этим, потенциальный мошенник может создать сайт, на котором он предлагает некоторые услуги, возьмем например пополнение счета мобильного телефона. Мошенник заранее генерирует запросы на оплату картой из своего аккаунта Вконтакте, имея тем самым набор валидных значений ORDER.

Я правильно понимаю, что если я сделаю «левую» страницу и попрошу пользователя ввести туда данные своей кредитки (как раз такая страничка недавно в спам свалилась) — это назовут «фундаментальная уязвимость, связанная с оплатой банковскими картами»? Тем более, если вы в курсе, как работает процессинг карт, незадачливому пользователю вернут деньги по первому же стуку в банк-эмитент карты, а у «мошенника» не только отберут все незаконно нажитые голоса вконтакте, но и закроют в местах не столь отдалённых на пару лет.

Так что я сильно сомневаюсь, что это даже уязвимостью можно назвать. В PayPal, например, можно точно так же отправить на страницу, где будет написано «Пополнение счёта МТС», висеть логотип МТС, но при этом деньги будут зачисляться на совершенно другой счёт.
нет, вы ничего не поняли
Клиент вводит реквизиты карты на стороне Мастер Банка, а не на фишинговой странице. В paypal нельзя подменить назначение платежа и название торговца. Если вы регистрируетесь в paypal и делаете фишинговый сайт — вас блокируют. А здесь кого заблокирует банк? Вконтакте? Вконтакт может заблокировать аккаунт, но никто не мешает открыть новый. И так до бесконечности, пока Вконтакт не наберется чарджбеков и Visa или MasterCard не потребуют от Мастер Банка закрыть этот мерчант.
Клиент вводит реквизиты карты на стороне Мастер Банка, а не на фишинговой странице.

А каким образом клиент попадёт на страницу ввода реквизитов карты на стороне МастерБанка? Случайно не через фишинговую страницу? Я таким же образом смогу отправить вас переводить мне деньги через какой-нибудь Chronopay.
В paypal нельзя подменить назначение платежа и название торговца.

Назначение платежа как раз подменить можно, оно передаётся в виде параметра item_name.
А здесь кого заблокирует банк? Вконтакте?

При чём тут Вконтакте? Вы прочитайте ещё раз своё же описание этой «уязвимости»:
… потенциальный мошенник может создать сайт, на котором он предлагает некоторые услуги, возьмем например пополнение счета мобильного телефона.

Всё, после этих слов дальше можно не читать — это не уязвимость в протоколе и даже не фишинг, а банальная разводка пользователя: сказать, что предоставляешь какие-то услуги, списать деньги и не выполнить свои обязательства. Причём целью мошенника являются не деньги, которые он может ещё успеть перевести через десятки подставных счетов, а голоса вконтакте. Наверно, ради них действительно стоит совершить уголовное преступление.
проблема не высосана из пальца, вы не поверите, но такой прецедент был уже у одного банка на заре предоставления услуги интернет-эквайринга, а достаточно было просто шифровать назначение платежа как пишет Goblink выше.
Проблема как раз высосана из пальца. PayPal не шифрует назначение платежа — значит, это тоже «великолепная уязвимость, связанная с оплатой банковскими картами»? Как же они живут с этим столько лет?

У меня были прецеденты, когда пользователи вместо 150 рублей платили 150$ через PayPal, при том, что шаг с проверкой данных о платеже является обязательным и эта цифра в явном виде выводилась на экран. Так что пользователи далеко не всегда обращают внимание на то, что пишется в инвойсе. Или это тоже можно назвать уязвимостью, когда сайт называет одну сумму, а инвойс выставляется на другую?
я не знаком с протоколом PayPal, но видимо для мерчантов с автоматическим предоставлением услуги есть возможность сверять данные, переданные на PayPal методом POST с данными, полученные от него в server-to-server респонсе
уязвимость заключается в том, что либо Мастер Банк не предоставляет такой возможности, либо контакт ею не пользуется
Интересно — сколько народу успело воспользоваться такой лазейкой?)
Реально, ВКонтакте становится такой же черной дырой как и другие В…
Если раньше краденные с карт деньги пытались слить в другие системы, то теперь в контакт.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории