Total Security - totalsecurity.com.br
Gerais
Quinta - 16 de Março de 2006 às 11:19
Por: Birkoff

    Imprimir


Uma vulnerabilidade encontrada no dia 13/03 no sistema de pagamentos E-gold permitia que dinheiro fosse transferido de uma conta para outra sem necessidade de saber login e senha da vítima.

A falha estava em um script asp que não verificava o login e senha do usuário caso o usuário estivesse online no sistema, permitindo assim que os parâmetros do script fossem modificados fazendo com que dinheiro pudesse ser transferido de qualquer conta do e-gold, usando um link como este:
https://www.e-gold.com/acct/confirm.asp? AccountID=123456&PassPhrase=somestring&
PayeeAccount=MY_ACCOUNT&Amount=100&PAY_IN=1&
WORTH_OF=Gold&Memo=Donation&IGNORE_RATE_CHANGE=y

A vulnerabilidade foi descoberta por um programador que se identifica como Nestling, que desenvolvia um sistema de pagamentos em massa quando notou a falha. Ele comunicou o e-gold no dia 13 e no mesmo dia recebeu resposta de agradecimento. A falha foi corrigida em menos de 24hs, e o programador recebeu uma recompensa mesmo não tendo solicitado isso. A equipe do e-gold ainda autorizou a publicação dos detalhes da falha. (Ah, se todas empresas fossem assim...)

Para mais detalhes (inglês):
Anuncio da falha por Nesling
Informações na lista BugTraq

TotalSecurity




Fonte: Eu escrevi

Comentários

Deixe seu Comentário

URL Fonte: https://totalsecurity.com.br/noticia/1373/visualizar/