E-learning kursy i szkolenia Online |||S|G|||

Wyszukiwarka Bing promowana jest m.in. jako narzędzie wspomagania wyborów konsumenckich. Program Cashback, pozwalający klientom na odzyskanie części pieniędzy za kupione dzięki niej produkty, cieszy się obecnie dużą popularnością. Wszystko byłoby pięknie… gdyby nie pewna felerna luka, która pozwala atakującym z łatwością wyłudzić z systemu pieniądze. Niestety Microsoft zamiast rozwiązać problem, zaatakował za pomocą swoich prawników odkrywcę exploita.

Jak pisze autor odkrycia, Samir Meghani z bloga Bountii.com, Korzystając z techniki, która jest ?oczywista dla każdego, kto zapoznał się z Bing Cashback SDK?, atakujący może łatwo sfałszować zamówienie zwrotu pieniędzy, co finalnie obciąża finansowo nie tylko sprzedawcę, ale też uniemożliwia prawdziwym kupującym odzyskanie pieniędzy.

Problem tkwi w mechanizmie informowania o transakcjach za pomocą tzw. śledzącego piksela (tracking pixel) ? który dodawany jest na stronę potwierdzenia zamówienia. Przesyła on detale transakcji do Binga. Okazuje się, że praktycznie każdy może taki piksel podrobić i przesłać do wyszukiwarki Microsoftu fałszywe transakcje. Prawdopodobnie także (choć tego autor odkrycia solidnie nie przetestował), atakujący jest w stanie także zablokować raportowanie transakcji dla uczciwych użytkowników, sprawiając, że zostaną one całkowicie przez Bing zignorowane. Efektem będzie niewątpliwie kilka dni koszmaru dla BOK-u sprzedawcy.

O swoim odkryciu Meghani napisał na łamach bloga w zeszłym tygodniu. Jednak zamiast podziękować autorowi za odkrycie i analizę problemu, a następnie załatać tę poważną lukę, Microsoft nasłał na niego kancelarię prawną Orrick. W przesłanym do blogera liście Redmond żąda natychmiastowego usunięcia blogowego wpisu, który rzekomo jest naruszeniem kalifornijskiego prawa, zaprzestania rozpowszechniania jego treści we wszelkich innych lokalizacjach i grozi dalszymi działaniami prawnymi, jeśli autor się do tego nie dostosuje.

Jednocześnie Microsoft zablokował konto Samira Meghaniego w programie Cashback, bez podania żadnego uzasadnienia. Bloger pisze, że zdecydował się wypełnić żądania korporacji, ?bo nie lubi zadawać się z prawnikami? ? jednak wciąż, w nietechniczny sposób, będzie pisał o odkrytej luce. Dziwi go tylko to, ?jak wiele trudu zadał sobie Microsoft, aby zlikwidować informację o luce, która jest oczywista dla każdego, kto przeczytał dokumentację?.

Czyżby ?Security through Obscurity? było znowu modnym hasłem? Jak wiadomo jednak, w Sieci nic nie ginie. Na razie z zakazanym przez Microsoft wpisem można zapoznać się dzięki cache samego Binga.

Źródło: bountii.com/blog