Se han descubierto varios fallos en la lógica de la comunicación de las principales páginas web de tiendas con servicios de terceros destinados al pago on-line (tipo PayPal), que permitían obtener productos de forma gratuita o a un precio arbitrario. Investigadores de la Universidad de Indiana (Rui Wang y XiaoFeng Wang) y Microsoft Research descubrieron fallos en la lógica de comunicación de las principales tiendas online que utilizaban servicios de pago de terceros como PayPal, Amazon Payments o Google Checkout.
Comentarios
Lo que es de ser inútil es descubrir cómo comprar gratis y publicarlo.
#5 Seguro que más de uno ya lo ha hecho, sobre todo con el tema de los apartados postales virtuales, lo mandas a uno de USA, luego al UK, luego de vuelta a USA y a ver quien sigue el rastro del paquete entre empresas de diferentes países.
#6 Sobretodo si lo envían a España y lo coge Speedtrans
#5 Es que antes de publicarlo, se lo comunicaron a las empresas y ayudaron a solucionarlo, para luego presentar los datos utilizados.
Saludos
#8 Ejem... yo me refería a que lo suyo en este caso sería aprovecharse del resquicio descubierto y comprar a saco. Aunque yo nunca lo haría, of course.
#5 Qué pena que no lo descubriese Anonymous...
#12 Sería grandioso, la de trolleadas que podrían hacer
#13 Siempre he tenido esa duda respecto a Ebay. Se conocen los casos de timos por parte de vendedores, ¿pero los compradores qué timan qué suelen hacer?
¿Si no te pagan no haces el envío no?
#5 Investigadores de la Universidad de Indiana (Rui Wang y XiaoFeng Wang) y Microsoft Research
No pseudo-gitanos como tu
#38 comentarios xenófobos, racistas o difamatorios causarán la anulación de la cuenta
#40 Gracias Pepito Grillo.
Joder que fina se pone la gente con lo del "politicamente correcto", espero que no se le haya caido a nadie el monóculo en el té por mi comentario.
Eso de "comprar gratis" esta mal, deberia poner robar o en todo caso estafar, que seria lo mas adecuado, al menos a mi me lo parece.
#11 en realidad tampoco es robar. Es una compra y como tal queda registrada aparentemente todo legal. En todo es engañar al sistema.
#18 por eso dije estafar. Y si, es una estafa en toda regla. Igual que si pagas con dinero falso, eso que llamas engañar al sistema es un delito penado. En internet tambien existe la responsabilidad y los delitos. Si yo hackeo los servidores de un banco y consigo acceso a cuentas bancarias sacando dinero no estoy engañando al sistema, estoy robando y voy a la carcel. Pues en este caso es una estafa y que me preocupa esque hubiera gente que se planteara utilizarlo. A ver si nos creemos que esto es un juego que pido una xbox y me la traen gratis..Asumo de todas formas que la gente lo dice de cachondeo, no me veo yo a todo el mundo estafando.
#19
¿Pero aquí han hackeado o simplemente han hecho la rutina de pagar y se han encontrado con que no les han cobrado nada?
#21 Eso de hackear es un termino ambiguo, en este caso se trata de un exploit, y como todo exploit se basa en errores de programacion. Si no existen errores no se podria "hackear" nada, pero eso no hace que sea legal.
#26
Para encontrar exploits debes hacer algunos hacks, y para hacerlos puedes servirte de entradas malformadas que el programa o sistema en cuestión se trague. Y para hacerlo no tiene porqué ser a propósito ni a mala fe.
Por otro lado los exploits no siempre son errores de programación. Pueden también ser debidos a un error de diseño.
#18 Claro, claro.... engañar.
Aquí la publicación http://www.informatics.indiana.edu/xw7/papers/caas-oakland-final.pdf
#11 Todo el mundo sabe que robar y estafar se utiliza especialmente cuando te descargas música o películas de Internet, nunca en otro contexto.
Venga joder que alguien cuelgue el exploit!!!
#1 supongo que el sabio google te indica el camino, pero si esta publicado en masa no tardará en ser inmunizado pienso
#1 lee la noticia.
el que ha votado errónea debe ser que confía en la seguridad de internet
Ahora sí que me compro una cuenta de Spotify.
He trabajado desarrollando una aplicación web con sistemas de pago a paypal y servired.
Creo que no tiene mucho sentido lo que habla esta noticia: hablan de modificar las comunicaciones entre el cliente y el sistema de pago, para modificar el importe de la venta.
Normalmente los sistemas de pago (paypal y servired así lo hacen) avisan al servidor de la tienda de que se ha producido un pago a cierto identificador, por cierta cantidad. Esta comunicación no pasa por el cliente, por lo que no tiene control sobre ella, y se produce después de que se haya producido el pago.
Es esta comunicación la que hace que el pago se confirme, por ser fiable (paypal la firma)
En el caso de que el cliente trastee, se notaría en seguida, avisando al administrador, y no marcando como pagada la venta.
...Investigadores de la Universidad de Indiana (Rui Wang y XiaoFeng Wang)...
Diréis que soy una malpensada, pero lo que no descubran los chinos...
#17 Ya veo que no soy el único al que no le ha sonado extraño que los dos "descubridores" del agujero sean chinos...
Si leyéramos los articulo hasta el final se vería porque hay gente que ha votado errónea. Es cierto que se descubrieron las vulnerabilidades, peor también es cierto que los afectados fueron informados y que estos trabajaron para arreglar los fallos
Desde luego si se vota errónea debería explicarse un poco, porque unaaldia no son precísamente unos novatos.
Rui Wang y XiaoFeng Wang (...) descubrieron fallos en la lógica de comunicación de las principales tiendas online... ¡y se pusieron a pedir cosas al Teletienda!
Pues he leído la noticia, y no sé si será que me acabo de levantar de la siesta cervecera del sábado o mi innata incapacidad tecnológica, pero no me he enterado de nada....
Lástima, yo que le iba a regalar un viaje a mi mujer....
Eso me recuerda cuando implementé TPVs virtuales bastante chapus, hace no mucho tiempo (unos meses).
Uno en concreto (que encima era un banco de las islas Caimán, no comments) redirigía a un iframe del banco para meter la tarjeta y pagar, y la forma de notificar a la web que el pago se había hecho correctamente era que EL PROPIO NAVEGADOR DEL CLIENTE hacía un redirect a una página fija, en plan "www.test.com/confirmarPago?id=12345&resultado=OK" donde ese código de transacción lo generaba la web pero el banco lo mostraba en el iframe...
Vamos, que sabiendo a que página redirigía (bastaba con ver la barra de direcciones mientras cargaba la página) y fijandote un poco en el id, podías manipularla y marcar como pagada cualquier reserva.
Nos quejamos al banco de que el sistema era poco seguro y dijeron, basicamente, ajo y agua, que no era su problema.
En fin...
#28 Si mal no recuerdo, al menos con los TPV que yo he implementado, había una URLok Y URLerronea, que parece ser que es la que usas para recibir el pago. Hay una tercera en la que el servidor del banco contacta con un script que tu indiques y notifica el pago, ahorrándote la confirmación insegura que estas haciendo.
Estas cosas hay que pensarlas bien...
El regreso de Automatische Incasso ?
¿Comprar gratis? Hay cientos de miles de sinvergüenzas que ya saben cómo se hace. Lo practican a diario, especialmente en sitios como ebay.
#13 Exacto y a los compradores no se les puede ya votar negativo y para ebay ellos siempre tienen la razón.
y mira que lo dige me suena muy raro que nadie se pueda meter por medio de estas transacciones
Bien! Ahora Lo sabe todo el mundo
YO llevo con paypal haciendolo bastante tiempo!
por lo que veo son todo problemas de los propios comercios, que no verifican las transacciones correctamente ...
Cuando me pagan en ebay a través de paypal,entro en mi cuenta paypal y retiro el total,descontando el 5% que cobra paypal de comisión,pasados unos 2-3 días tengo el ingreso en mi cuenta corriente,entonces envío el artículo,son equipos de música y no sellos, así que no arriesgo,como medio de pago lo utiliza el 75% de mis compradores y si no ofrezco este medio de pago mis ventas pueden bajar en un 50%,vender fuera de España sin ofrecer paypal es casi imposible.
Mierda, se me acabo el chollo!
Es raro que no tengan tanta seguridad en estas webs. Lo que pasa es que cada vez más el conocimiento sobre webs y temas de seguridad lo sabe más gente y es más facil de poder abrir ciertas "grietas" en la seguridad.
Los sistemas de seguridad jamás son perfectos. Esperemos que lo solucionen pronto.
#29 el dia que te leas las noticias
#30 Solo he podido leer la entrada y los comentarios, no me cargaba la pagina ;?
#37 lo siento no he podido aguantarme, buen fin de semana