Zakupy bez płacenia w sklepach online
Dzięki luce w przetwarzaniu płatności obecnej w niektórych sklepach internetowych można nabyć towar, nie płacąc za usługę.
Na straty są narażone sklepy bazujące na opensource'owych systemach obsługi osCommerce i xt:commerce, które współpracują z usługą płatności 1&1 ipayment.
Problem
Przyczyną usterki jest błąd w analizowaniu danych informujących o poprawnej lub niepoprawnej autoryzacji. W rezultacie potencjalny napastnik może posłużyć się specjalnym statycznym łańcuchem URL, aby przekazać systemowi fałszywą informację o tym, że dokonano zapłaty za towar.
Nie wiadomo jeszcze, ile dokładnie sklepów jest narażonych na ataki intruzów. Szacuje się, że dwa wymienione systemy sprzedaży mają około 25 proc. udziału w rynku. Na całym świecie działa około 100 tysięcy serwisów wykorzystujących system xt:commerce.
Rozwiązanie
Dla obu produktów istnieją już odpowiednie patche naprawiające błąd. Użytkownicy systemów xt:commerce zostali poinformowani o problemie w specjalnym komunikacie wysyłanym e-mailem. Z kolei firma ipayment obiecała wczoraj powiadomić o usterce wszystkich współpracowników posługujących się zagrożonymi systemami.
Wydanie tej poprawki ma też wymiar biznesowy - od teraz sklepy będą musiały spełniać wymagania banków wydających karty kredytowe. Do tej pory, choć sami sprzedawcy temu zaprzeczają, sklepy przetwarzały numery kart kredytowych nawet jeśli nie spełniały warunków określonych standardem PCI DSS. Istnienie wytycznych bezpieczeństwa w zakresie obrotu numerami kart płatniczych jest przyczyną tego, że większość internetowych sprzedawców korzysta z pomocy podmiotów trzecich przy online'owym pobieraniu opłat za towary lub usługi.
