Хакери експлоатират Magento, за да тестват валидност на крадени кредитни карти
Уязвимост в системата за електронна търговия е използвана за тестване на стотици трансакции на стойност 0 USD, с които да се провери дали кредитните карти могат да бъдат препродавани
Едно от най-важните неща при покупката на крадени карти е какъв процент от дъмпа, на който ще станете собственик, съдържа реална информация за истински кредитни карти. Колкото повече са легитимни, толкова по-висока става репутацията на продава, толкова по-доволен е клиентът – и толкова по-висока е цената на самия дъмп и кредитните карти в него.
Как обаче да се разбере дали кредитната карта е валидна, без да се усети собственика ѝ и банката му? И как да се тестват хиляди кредитни карти едновременно? Отговорът на тези два въпроса е даден с разкрита уязвимост в една от най-популярните системи за електронна търговия – Magento.
Как работи уязвимостта
Хакери са използвали уязвимост в PayPal Payflow Pro интеграцията на Magento, за да осъществяват стотици трансакции с нулева стойност, за да тестват валидността на крадените си кредитни карти. Със сигурност е потвърдено, че уязвимостта засяга Magento Open Source v2.1.x, 2.2.x и Magento Commerce v2.1.x, 2.2.x, а има вероятност и Merchants on v2.3.x да е уязвим.
Техниката на хакерите не е да осъществяват реални поръчки с кредитните карти, за да могат да останат колкото се може по-дълго невидими за собствениците на кредитните карти и банки. Същевременно, те получават индиректно потвърждение за валидността на картите в базата им данни, като по този начин увеличат цената им на черния пазар. За сравнение – данните за невалидирана карта може да струват около 0.40 USD, докато за валидирана – 20 USD (50 пъти повече).
Интеграцията с PayPal Payflow Pro позволява на ползващите Magento като система за управление на електронните си магазини да приемат плащания с PayPal от клиентите си, без да се налага последните да излизат от самия електронен магазин.
Как може да станете жертва
От Magento коментират в специален бюлетин до ползвателите си, че са засегнати и двете версии на платформата – и версията ѝ в облака, и тази, която може да бъде инсталирана и използвана на собствен сървър.
Една от основните препоръки на създателите на платформата е собствениците на електронни магазини да използват web application firewall (WAF) или други системи срещу brute-force атаки или за засичане на ботове, за да се предпазят от експлоатиране на системите им за подобни атаки.
Ако имате подобен магазин и мислите, че експлоатацията му за валидиране на крадени кредитни карти няма да ви навреди, по-скоро бъркате. Най-малкото, PayPal акаунта ви може да бъде спрян принудително заради огромния обем фалшиви трансакции.