Группа исследователей провели практическую атаку на крупнейшие сайты интернет-торговли, которые используют внешние системы приема платежей, для получения товаров бесплатно или по ими установленной цене.

"Дыра" в безопасности при обработке онлайн-платежей позволила им приобрести электронику, DVD, электронную подписку на периодику, средства гигиены и другие продукты по ценам, которые они сами себе установили. Исследователи проинформировали соответствующие магазины о найденной бреши в безопасности и помогли ее исправить. (Источник: Университет Индианы, Indiana University)

В некоторых случаях им удалось убедить интернет-магазины, что они оплатили покупку через внешний сервис платежей (cashier-as-a-service, CaaS) Amazon Payment, тогда как заплатили на собственный коммерческий счет в Amazon. Исследователи планируют представить подробности в мае [2011 года] на Симпозиуме по безопасности и приватности в г.Окленд, Калифорния, под эгидой Электроинженерного Института (Institute of Electrical and Electronics Engineers).

Ведущие коммерческие приложения NopCommerce и Interspire, провайдеры внешних сервисов платежей, такие как Amazon Payments, и некоторые популярные торговые интернет-площадки имеют серьезные недостатки в логике обработки данных. Это позволяет злоумышленникам воспользоваться несоответствием при передаче статусов платежей между торговыми площадками и внешними сервисами платежей (Amazon Payments, PayPal и Google Checkout).

В каждом упомянутом случае исследователи проинформировали о найденных уязвимостях затронутые стороны, вернули неправомерно полученные товары и проконсультировали сервисы о сути найденных ошибок и способах их исправления.

"Мы считаем, что при работе с внешними сервисами платежей очень сложно удостовериться в отсутствии злоумышленника, который может воспользоваться найденными уязвимостями", —

сообщил XiaoFeng Wang, со-автор исследования и профессор информатики и компьютерной техники Университета Индианы.

"Кроме того, трехзвенное взаимодействие (между торговым приложением, онлайн-магазином и внешним сервисом платежей) сложнее по сравнению с двухзвенным между браузером и сервером, поэтому в нем обнаруживаются коварные логические ошибки."

По словам исследователей, большинство уязвимостей найдены в торговых приложениях, но часть ответственности лежит и на внешних сервисах платежей. В одном из случаев обнаружилась уязвимость в Amazon Payments’ SDK, что заставило компанию серьезно изменить способ проверки уведомлений об оплате.

Как сказано в отчете, предварительное исследование затронуло только простые трехзвенные взаимодействия и не рассматривало варианты вовлечения других сторон, как аукционы и комплексные торговые площадки. Скорее всего, такие варианты еще более уязвимы.

По словам ведущего автора данного исследования, аспиранта Rui Wang,

"Многозвенные веб-приложения потребуют дальнейших работ в области безопасности. Мы проанализировали сложные механизмы систем на основе внешних сервисов платежей и пришли к выводу, что вопросы безопасности должны подниматься на этапе разработки и тестирования таких систем. Мы считаем нашу работу первым шагом в новой области проблем безопасности гибридных веб-приложений".

Исследовательская группа, которая также включает Shuo Chen и Shaz Qadeer из Microsoft Research (Redmond, Washington), предполагает рассмотреть аналогичные уязвимости, при которых злоумышленник сможет сделать две покупки с большой разницей в цене, после чего вернуть более дешевую, а возврат средств получить за более дорогую.

"Было бы интересно, если бы мы сделали заказ на $1 и на $10, отменили заказ на $1, а средства нам вернули за заказ на $10", —

добавляет Rui Wang.

В январе [2011 года] Rui Wang и XiaoFeng Wang, его научный руководитель, а также Shuo Chen, исследователь из Microsoft, были участниками исследовательской команды, которая нашла уязвимость в Facebook. Эта уязвимость позволяла сайтам-злоумышленникам получать и распространять персональные пользовательские данные. Позднее Facebook подтвердил и исправил найденные ошибки.