Перейти к публикации
Kokainchik

Mastercard игнорирует опасную уязвимость в системе

Рекомендованные сообщения

940b19bc85a080cfdfc68e72931d8485.jpg
 

Ошибка в сервисе MIGS позволяет хакерам обманывать платежную систему.

Продавцы, использующие платежные шлюзы Mastercard (Mastercard Internet Gateway Service, MIGS), для обработки online-платежей, должны дважды проверять каждую транзакцию, прежде чем отправлять товары клиентам: существует серьезная уязвимость в протоколе проверки системы, и, судя по всему, Mastercard игнорирует ее.

Независимый исследователь по безопасности Йоханес Нугрохо (Yohanes Nugroho) обнаружил серьезную уязвимость в протоколе MIGS, которая позволяет хакерам обманывать платежную систему и продавцов, принимая недействительные транзакции. Это возможно главным образом из-за метода хэширования, используемого Mastercard. "Если бы значение было закодировано, уязвимости бы не существовало", - объяснил исследователь.

Злоумышленники могут эксплуатировать данную ошибку для введения недопустимых значений в промежуточных сторонних платежных сервисах, чтобы полностью обойти систему Mastercard и передать запрос напрямую продавцам.

Перед отправкой в MIGS запросы проверяются только на стороне клиента. Так как эти данные не доходят до серверов Mastercard, они по-прежнему могут быть подменены. Хакеры могут выдавать недействительные транзакции как абсолютно законные доказательства платежа. Хотя торговцам по-прежнему приходится подтверждать транзакцию, большинство пользователей редко проверяют свои банковские счета, прежде чем одобрять запросы.

Несмотря на несколько попыток исследователя предупредить Mastercard, последняя никак не отреагировала на его сообщения. Позже вице-президент Mastercard по связям с общественностью Сет Эйзен (Seth Eisen) сообщил, что компании известно о наличии уязвимости на сайтах продавцов и в скором времени будут приняты меры по минимизации ущерба.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Бабосики нужно хранить под подушкой или в матрасе, а не на картах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну точно, их нужно не копить, а в дело пускать, деньги всегда должны работать!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.
Примечание: вашему сообщению потребуется утверждение модератора, прежде чем оно станет доступным.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.


×
×
  • Создать...