В начале ноября на ряде форумов появились сообщения, серьезно компрометирующие систему интернет-платежей Perfect Money.

В своих постах пользователи ссылались на публикацию компании OKPAY Inc. в ЖЖ. В ней утверждалось, что сотрудники службы информационной безопасности OKPAY обнаружили в Perfect Money уязвимость, позволяющую предоставить ложную информацию об оплате заказа.

По словам представителей OKPAY, злоумышленник имеет возможность имитировать перевод денег в Perfect Money, заплатив за это символически мизерную сумму в 10 центов. Для этого необходимо нехитрым способом изменить информацию для оплаты товара, после чего система Perfect Money отправит продавцу ложную информацию, о том, что счет был якобы полностью оплачен. Убедиться в фактической недостаче средств продавец может только после авторизации в платежной системе и проверки своего баланса.

Уязвимость позволяет ввести в заблуждение большинство интернет-магазинов, использующих сервис уведомлений о платежах (IPN) от PerfectMoney, утверждают специалисты. Свои слова они подтверждают техническими подробностями: инструкциями и фрагментами программных кодов, в которых была обнаружена уязвимость.

Интересно, что данная информация была неоднозначно воспринята форумчанами. Некоторые поспешили проверить приведенные инструкции, убедиться в их неработоспособности и опровергнуть выкладки OKPAY, упрекнув компанию в дешевом пиаре. А кто-то заявил, что, обнаруженная "дыра" уже позволила взломать не один онлайн-обменник.

Странно другое - ни одно из сообщений по этой теме на русскоязычных форумах сейчас не удается прочитать. Темы удалены, и только сохраненные копии страниц из поисковиков позволяют получить сколь-нибудь явное подтверждение недавним обсуждениям. Между тем, англоязычный пост OKPAY в ЖЖ со всеми техническими выкладками остается нетронутым. Не исключено, что в Perfect Money уже отреагировали на тревожный сигнал и прикрыли уязвимость, если она вообще была.

moneynews.ru