Δευτέρα, 30 Μαρτίου, 16:35
Αρχική rapidalert Προγραμματιστές εντόπισαν αδυναμία στο Paysafe API!

[ΑΠΟΚΛΕΙΣΤΙΚΟ] Προγραμματιστές εντόπισαν αδυναμία στο Paysafe API!

paysafecard1

Έλληνες προγραμματιστές κατόρθωσαν, σύμφωνα με πληροφορίες που κοινοποιήσαν στην συντακτική ομάδα του SecNews, να εντοπίσουν αδυναμία στην διαχείριση του Paysafe API. Συγκεκριμένα οι προγραμματιστές του SoccerBot (λογισμικό το οποίο βοηθάει τους παίχτες του στοιχήματος να αναζητούν πολύ γρήγορα πιθανά αποτελέσματα αγώνων ποδοσφαίρου σύμφωνα με τους δημιουργούς του) εντόπισαν την αδυναμία στο API της Paysafe.

Οι προγραμματιστές του Soccerbot-Team, Kondor και Zerocode ή +Serializer+, σύμφωνα με όσα αναφέρει ο Zerocode στην επικοινωνία του με συντάκτη του SecNews, δημιούργησαν το Proof of Concept της αδυναμίας. Όπως διευκρινίζουν μάλιστα, η αδυναμία δεν βρίσκεται στο API αλλά στην εκμετάλλευση ενός απροστάτευτου σημείου της Paysafe που δίνει την δυνατότητα δημιουργίας κώδικα που λειτουργεί ως “εξουσιοδοτημένο” API.

Η ανακάλυψη της αδυναμίας έγινε από τυχαίο γεγονός. Η εφαρμογή υποστήριζε αρχικά μόνο Paypal όποτε λόγω αυξημένης ζήτησης από τους χρήστες  της εφαρμογής Soccerbot οι προγραμματιστές  θεώρησαν σημαντικό να υποστηρίξουν Paysafe. Κατά την διαδικασία λοιπόν της απαραίτητης υλοποίησης, οι προγραμματιστές Kondor και Zerocode ή +Serializer+ εντόπισαν την αδυναμία και ενημέρωσαν ΑΜΕΣΑ την εταιρία ώς όφειλαν.

soccerbot2

Για τον σκοπό αυτό δημιούργησαν Python script (φαίνεται στο σχετικό video που δημοσιοποιούμε παρακάτω) με την επωνυμία paysafe_cracked_api.py. Ο κώδικας-απόδειξη δημιουργήθηκε στο τοπικό εξυπηρετητή, μιας και στόχος των προγραμματιστών δεν ήταν ο προσπορισμός κέρδους αλλά η ενημέρωση της εταιρείας σχετικά με την αδυναμία.

soccerbot1

Το Script κατά την επικοινωνία που πραγματοποιεί ελέγχει αν υπάρχουν αιτήματα συναλλαγών.Έαν υπάρχουν συλλέγει τα στοιχεία και συνδέεται σε μη προστατευμένο μέρος της Paysafe (αυτόματα όπως αναφέρει ο Zerocode) για να καταθέσει το ποσό σε λογαριασμό που αντιστοιχεί σε κάρτα τράπεζας.

Παρακολουθήστε το πλήρες video με την διαδικασία των προγραμματιστών όπως την δημοσιοποίησαν:

https://www.youtube.com/watch?v=3AZT5iLNRfA

Σε ερώτημα του συντάκτη του SecNews για την αντίδραση της εταιρείας, οι προγραμματιστές μας ανέφεραν ότι προσπάθησαν να έρθουν σε επικοινωνία μαζί της νωρίτερα, κάτι που δεν κατέστει δυνατό από την πλευρά της εταιρείας, η οποία επέδειξε στάση μη ενδιαφέροντος για να αναλύσει το συγκεκριμένο πρόβλημα που εντόπισαν οι προγραμματιστές και να προβεί σε σχετική λύση. Σύμφωνα με τους προγραμματιστές η επιδιόρθωση είναι ιδιαίτερα εύκολη.

paysafe2

Είναι εφικτό κάποιος κακόβουλος χρήστης να χρησιμοποιήσει την μεθοδολογία αυτή για πληρωμές σε ιστοσελίδες συμφερόντων του χωρίς καμία εξουσιοδότηση από την Paysafe. Σε συνδυασμό μάλιστα με την χρήση Botnet με την απαραίτητη διαμόρφωση του python script, θα ήταν εφικτή η δοκιμή paysafe cards με μια δοκιμή ανα δευτερόλεπτο.

Μάλιστα εκφράζουν την ανησυχία τους πως μια τόσο μεγάλη εταιρεία έκανε ένα τοσο σημαντικό λάθος, που μπορεί να οδηγήσει σε απώλειες, σύμφωνα με τους ισχυρισμούς των προγραμματιστών/ερευνητών.

Το SecNews δεν μπόρεσε να αξιολογήσει το εύρημα, μιας και δεν διαθέτουμε πρόσβαση στον πηγαίο κώδικα του python script που δημιούργησαν οι προγραμματιστές.

[alert]
Εκτιμούμε όμως ότι η εταιρία οφείλει να επικοινωνήσει ΑΜΕΣΑ με τους προγραμματιστές ώστε να ενημερωθεί επακριβώς και να προβεί στην σχετική αξιολόγηση, μιας και η ίδια γνωρίζει τα συστήματά της και πως μπορούν να πληγούν με την χρήση του μη εξουσιοδοτημένου API.[/alert]

Χαρακτηριστικό δείγμα των προθέσεων των προγραμματιστών, όπως μάλιστα αναφέρει χαρακτηριστικά ο Zerocode είναι:

[blockquote]Θα συνεχίσουμε να κρατάμε το ήθος μας σε υψηλό επίπεδο και να χρησιμοποιουμε τις γνώσεις μας για καλό σκοπό είτε μας ανταμοίβουν γι’αυτο είτε όχι…

Με εκτίμηση Soccerbot-Team[/blockquote]

 To SecNews ευχαριστεί τους προγραμματιστές του Soccer-bot για την έγκαιρη και έγκυρη ενημέρωση

1 ΣΧΟΛΙΟ

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Προσοχή: ψεύτικες ιστοσελίδες πουλάνε μάσκες για τον κορωνοϊό

Οι εγκληματίες του κυβερνοχώρου, συνεχίζουν να εκμεταλλεύονται την κατάσταση που έχει προκύψει από την πανδημία του κορωνοϊού...

OnePlus 8: Διέρρευσαν πληροφορίες για νέα χρώματα

Νέες διαρροές χαρακτηριστικών του OnePlus 8 κυκλοφόρησαν στο ίντερνετ τη τελευταία εβδομάδα. Σύμφωνα με τις νέες πληροφορίες,...

Μάθετε πώς να χρησιμοποιείτε και να αλλάζετε το φόντο στο Zoom

Αδιαμφισβήτητα, μία από τις πιο δημοφιλείς και ιδανικές εφαρμογές, ιδιαίτερα κατά την πανδημία του Κοροναϊού, είναι το Zoom. Παρά τις ανησυχίες που...

Η Cosmote δίνει 2 εκατ. ευρώ για την ενίσχυση των ελληνικών νοσοκομείων

Cosmote: Δίνει 2 εκατ. ευρώ για την ενίσχυση των ελληνικών νοσοκομείων: Στη δωρεά 2 εκατ. ευρώ για την ενίσχυση των ελληνικών νοσοκομείων...

Amazon απεργία: Εργαζόμενοι ζητούν το κλείσιμο εγκατάστασης λόγω κορωνοϊού

Απεργία κάνουν οι υπάλληλοι της Amazon λόγω των συνθηκών εργασίας εν μέσω κορωνοϊού. Οι...

Η χρήση RDP και εταιρικών VPN έχει αυξηθεί σημαντικά λόγω Κοροναϊού

Κατά την πανδημία του Κοροναϊού, η χρήση τεχνολογιών απομακρυσμένης πρόσβασης έχει αυξηθεί σε εντυπωσιακό βαθμό. Συγκεκριμένα, η χρήση RDP(Remote Desktop Protocol) και...

Η Σαουδική Αραβία κατασκοπεύει κινητά μέσω ευπαθειών στο SS7

Εδώ και πολύ καιρό, οι εμπειρογνώμονες και οι ειδικοί σε θέματα ασφαλείας, προειδοποιούν για την ύπαρξη ελαττωμάτων...

Η Κεντρική Τράπεζα της Τουρκίας υπονομεύει την απειλή του Κοροναϊού για την οικονομία

Η Κεντρική Τράπεζα της Τουρκίας ζωγράφισε μια εικόνα που περνά ένα αισιόδοξο μήνυμα για την απειλή του Κοροναϊού, αναφέροντας ότι η μεγαλύτερη...

FBI: Hackers στέλνουν κακόβουλους δίσκους USB μέσω USPS

Οι hackers από την ομάδα ηλεκτρονικών εγκλημάτων FIN7 έχουν στοχεύσει διάφορες επιχειρήσεις με κακόβουλες συσκευές USB που λειτουργούν ως πληκτρολόγιο όταν συνδέονται...

Δωρεάν screen sharing λογισμικό επιτρέπει τη σύνδεση σε PC συνεργατών

Τον τελευταίο καιρό όλο και περισσότεροι άνθρωποι εργάζονται από το σπίτι, σε μια προσπάθεια να μειωθεί η...