Bug in webwinkel-toepassing maakt gratis winkelen mogelijk
Kwaadwillende zijn in staat geweest producten aan te schaffen in webshops zonder daadwerkelijk te betalen. De webwinkel-toepassing CS-Cart blijkt een fout te hebben bevat in de wijze waarop betalingen via PayPal worden verwerkt. Kwaadwillenden konden deze fout misbruiken om te voorkomen dat geld wordt bijgeschreven op de rekening van een webshop.
Ieder PayPal-account is gekoppeld aan een e-mailadres, waarmee eenvoudig geld naar het account kan worden overgeschreven. Bij iedere betaling via PayPal wordt dan ook het e-mailadres van de webwinkel in kwestie gebruikt om het geld op de juiste bestemming te laten aankomen.
E-mailadres wijzigen
Door een bug in CS-Cart werd dit e-mailadres echter niet op een server van de toepassing gecontroleerd, maar op de computer van de gebruiker. Kwaadwillenden konden hierdoor het PayPal e-mailadres van de webwinkel veranderen in een e-mailadres dat zij zelf in handen hebben. De aanvallers schrijven dus bij het bestellen van producten gewoon geld over, maar betalen het bedrag aan zichzelf.
Carnegie Mellon Universiteit's Computer Emergency Response Team (CERT) meldt dat de fraude lastig te detecteren is. Om de onbetaalde bestellingen te kunnen identificeren zouden webshops alle bestellingen handmatig moeten verifieren. Getroffen webshops zijn dus veel tijd kwijt aan het opsporen van valse bestellingen.
CS-CART 3.0.6
De bug is ontdekt in CS-CART 3.0.4 en mogelijk ook aanwezig in eerdere versies. De update CS-CART 3.0.6 moet het probleem oplossen.