Zakupy bez płacenia w sklepach online

Dzięki luce w przetwarzaniu płatności obecnej w niektórych sklepach internetowych można nabyć towar, nie płacąc za usługę.

Na straty są narażone sklepy bazujące na opensource'owych systemach obsługi osCommerce i xt:commerce, które współpracują z usługą płatności 1&1 ipayment.

Reklama

Problem

Przyczyną usterki jest błąd w analizowaniu danych informujących o poprawnej lub niepoprawnej autoryzacji. W rezultacie potencjalny napastnik może posłużyć się specjalnym statycznym łańcuchem URL, aby przekazać systemowi fałszywą informację o tym, że dokonano zapłaty za towar.

Nie wiadomo jeszcze, ile dokładnie sklepów jest narażonych na ataki intruzów. Szacuje się, że dwa wymienione systemy sprzedaży mają około 25 proc. udziału w rynku. Na całym świecie działa około 100 tysięcy serwisów wykorzystujących system xt:commerce.

Rozwiązanie

Dla obu produktów istnieją już odpowiednie patche naprawiające błąd. Użytkownicy systemów xt:commerce zostali poinformowani o problemie w specjalnym komunikacie wysyłanym e-mailem. Z kolei firma ipayment obiecała wczoraj powiadomić o usterce wszystkich współpracowników posługujących się zagrożonymi systemami.

Wydanie tej poprawki ma też wymiar biznesowy - od teraz sklepy będą musiały spełniać wymagania banków wydających karty kredytowe. Do tej pory, choć sami sprzedawcy temu zaprzeczają, sklepy przetwarzały numery kart kredytowych nawet jeśli nie spełniały warunków określonych standardem PCI DSS. Istnienie wytycznych bezpieczeństwa w zakresie obrotu numerami kart płatniczych jest przyczyną tego, że większość internetowych sprzedawców korzysta z pomocy podmiotów trzecich przy online'owym pobieraniu opłat za towary lub usługi.

Dowiedz się więcej na temat: towar | zakupy | sklepy

Reklama

Reklama

Reklama

Strona główna INTERIA.PL

Polecamy

Rekomendacje