Chyba v tisícoch webových obchodov umožňovala nákup zadarmo

DSL.sk, 28.2.2008

V dvojici používaných open-source systémov pre webové obchody osCommerce a xt:commerce sa nachádzala vážna chyba, ktorá umožňovala vo webových obchodoch používajúcich tieto systémy nakupovať bez platenia.

Chyba sa nachádzala pri použití týchto softvérových systémov v kombinácii so službou iPayment pre spracovanie platieb z kreditných platieb.

Nesprávne overenie návratovej URL zo systému iPayment umožňovalo komukoľvek vygenerovať potvrdzovaciu URL o zaplatení a tak nakúpiť bez zaplatenia. Prípady by bolo možné detekovať až neskôr porovnaním zrealizovaných nákupov a reálne pripísaných prostriedkov na účet predajcu.

Na chybu v systémoch používaných veľmi často napríklad v Nemecku upozornil nemecký server Heise. Presný počet postihnutých webových obchodov používajúcich iPayment nie je známy, jedná sa pravdepodobne ale minimálne o tisíce, keď len xt:commerce je nasadený približne na 100 000 serveroch.

Tvorcovia xt-commerce na problém upozornili v tejto správe, v súčasnosti sú k dispozícii už opravy pre oba systémy.


Najnovšie články:



Diskusia:

looooooooool Od reg.: -nikto- | Pridané: 28.2.2008 8:53 idem si asi rychlo nieco nakupit kym o tejto sprave nevedia lokalni admini tych webov :D :D :D :D Odpovedať Známka: 8.9 Hodnotiť:

Re: looooooooool Od: hehehe | Pridané: 28.2.2008 9:52 potom povedz kde:) Odpovedať Známka: 10.0 Hodnotiť:

Che!! Od reg.: Haggadah | Pridané: 28.2.2008 8:54 Tak tato sprava ma dnes pekne potesila, uz len najst nejaky slovensky e-obchod a huraa do nakupovania.. a modlit sa aby to nezistili 'predajcovia' Odpovedať Známka: 10.0 Hodnotiť:

Re: Che!! Od: Mentol | Pridané: 28.2.2008 9:15 Ale ved co sa budes trapit, vezmi si o dve cisla vacsiu vetrovku a chod zadarmo "nakupovat" do Tesca. Rozdiel v tom nie je ziadny ... Odpovedať Známka: 8.8 Hodnotiť:

Re: Che!! Od reg.: -nikto- | Pridané: 28.2.2008 9:27 no neviem, pamatam sa ako bravali ti sbskari ludi dozadu do tej malej furt premalovanej miestnosti ... a tam im svojsky vysvetlovali, ze kradnut sa nema... co sa tyka tohto "podvodu" resp. obycajneho bugu, tak ti vlastne nikto nema ako dokazat, ze si za to nezaplatil. tovar si nechas poslat. doklad o zaplateni v tomto pripade neexistuje, takze sa mozes hadat s obchodikom, skor uspejes (aj na sude) ty nez on. Odpovedať Známka: 7.8 Hodnotiť:

Re: Che!! Od reg.: graf | Pridané: 28.2.2008 9:30 no v trencianskom tesco by si ich asi nikto nezobral dozadu. tam su dvaja sbskari stari deduskovia ajeden je mlady 20 rocny chalan v brylkach co ma aj s topankami 40 kil a vyzera, ze priroda sa s nim nemaznala... Odpovedať Známka: 8.2 Hodnotiť:

OMG... Od reg.: wavevlna | Pridané: 28.2.2008 9:34 ked si neni debil so SBSkarom nikam nepojdes.. co on je policajt? BTW: ked si neni debil vies si na to zarobit :P Odpovedať Známka: 8.0 Hodnotiť:

Re: Che!! Od reg.: TheHacker | Pridané: 28.2.2008 14:18 "no neviem, pamatam sa ako bravali ti sbskari ludi dozadu do tej malej furt premalovanej miestnosti" :-) Odkial to tak doverne poznas? Odpovedať Známka: 10.0 Hodnotiť:

Re: Che!! Od reg.: stara_mama | Pridané: 28.2.2008 23:52 v telke to bolo Odpovedať Hodnotiť:

Re: Che!! Od reg.: michalneal | Pridané: 28.2.2008 17:45 Aj keby to zistili predajcovia, zákon je na strane zákazníka. Inak povedané, keby ti niekto v predajni tvrdil a zároven predal LCD televízor za 500SK, išlo by samozrejme o niejakého podvodníka abo menej inteligentného predajcu, a ty ako zákazník si nevedel o čo ide, tak ten televízor je tvoj. A nik nemá právo ti ho vziať, lebo ty ako zákazník nemáš povinnosť si overovať napr. totožnosť predajcu, je to výhradne záležitosť predajcu. Ich chyba - ich strata ... Keby som to obrátil, je to ako by si si kúpil ten LCD ale už za 30 litrov, a pri nesení krabice by si zakopol 5 metrov od predajne a rozbil celý obsah, myslíš, že by ti dali nový kus ? :D Odpovedať Známka: -3.3 Hodnotiť:

Re: Che!! Od: tominot | Pridané: 28.2.2008 21:31 najprv sa snaz pochopit clanok a az potom sa ohanaj niecim o com vobec, ale vobec nic nevies!!!, teda zakonmi! v clanku sa pise: umožňovalo komukoľvek vygenerovať potvrdzovaciu URL To znamena, ze niekto umyselne vyuzil chybu, kt. nedavala automaticky zle vysledky, t.j. zo strany "zakaznika" slo jednoznacne o podvod, neopravnene obohacovanie sa! a td napis, ako ho chrania zakony! Odpovedať Hodnotiť:

alee5 Od: jaaa | Pridané: 28.2.2008 9:03 Ale chyba ti k tomu to hlavne, a tym je iPayment Odpovedať Známka: 10.0 Hodnotiť:

Re: alee5 Od reg.: -nikto- | Pridané: 28.2.2008 9:29 taktiez, aj keby si ho mal, musis vediet presne ako na to, aby sa ti nestalo, ze za tovar naozaj zaplatis :D povedal by som, ze musis spravit aspon jednu platbu aby si zistil ako to funguje aby si to vedel odrbkat nabuduce. a mam tusenie, ze by podobnu chybu mohlo obsahovat kopec inych inet obchodov... Odpovedať Známka: 10.0 Hodnotiť:

TESCO Od: Cooelrman | Pridané: 28.2.2008 10:47 Chodte do teska prehadzujte stitky z lacnych veci do drahych ,alebo vonavku za 300 sk dajte do zubnej pasty za 20 sk a je po nakupovani Odpovedať Známka: 5.0 Hodnotiť:

no to je Od: lalala123 | Pridané: 28.2.2008 10:49 no to je uz stare, mne to kamos ukazoval, ale tak blb nesom aby som si na vlastne meno bral zdarma, normalny obchodnik to zisti ;) ale taky obrovsky tomu to je asi aj jedno :) Odpovedať Známka: 6.7 Hodnotiť:

:))))))))))))) Od: tralala | Pridané: 28.2.2008 10:54 a v akom shope?:) Odpovedať Známka: 0.0 Hodnotiť:

Re: :))))))))))))) Od: lalala123 | Pridané: 28.2.2008 11:03 uz skrachoval :)))) ale ne, na viacerych, ale vacsinou to boli take malicke, ani si ich nepamatam uz ... Odpovedať Známka: 5.6 Hodnotiť:

Chyba Od reg.: 807_7_ | Pridané: 28.2.2008 18:54 Ta chyba sa casto imho nevyuzivala, alebo proste bezny lud o tom nepocul. Kedze pri inventurach atd to museli hned zistit ze nieje nieco vporiadku... ked sklad je prazdny (hodnota zasob v nakupke bola dajme tomu milion a na ucte svieti pol melka aj s marzou... ) Odpovedať Hodnotiť:

STOROCIA Od: SANCA | Pridané: 1.3.2008 14:46 ZAROBTE SI LAHKO A RYCHLO CEKUJ NEUVERITELNA SANCA ROKA www.klikacka.sk/registracia/?odporucatel=broli99 TOTO NIE JE SPAM!!! FUNGUJE TO!!! Odpovedať Známka: -10.0 Hodnotiť:

Pridať komentár