Fehler in Bezahlsystem ermöglicht kostenloses Einkaufen in Webshops

Durch die fehlerhafte Verarbeitung von Transaktionen bei Bezahlungen in Webshops ist es möglich, ohne Bezahlung Waren zu erhalten. Betroffen sind Webshops, die für Kreditkartenzahlungen auf externe Dienstleister zurückgreifen.

In Pocket speichern vorlesen Druckansicht 134 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Durch die fehlerhafte Verarbeitung von Transaktionsdaten bei Bezahlungen in Webshops ist es möglich, ohne Bezahlung Waren zu erhalten. Betroffen sind Webshops, die auf den Open-Source-Shopsystemen osCommerce oder xt:commerce beruhen und diese bei der Zahlungsart Kreditkarte auf den Dienst ipayment von 1&1 zurückgreifen. Dabei werden die von ipayment zurückgelieferten Daten über den Erfolg oder Misserfolg einer Bezahlung nicht immer korrekt ausgewertet, sodass unter Umständen der Aufruf einer statischen URL genügt, um dem Shop eine gültige Bezahlung vorzugaukeln.

Wie viele Shops genau von dem Problem betroffen sind, ist unbekannt. Schätzungen zufolge kommen die beiden Shop-Systeme zusammengenommen auf 25 Prozent Marktanteil – allein xt:commerce soll auf rund 100.000 Servern weltweit seine Arbeit verrichten. Sowohl für osCommerce als auch für xt:commerce stehen Patches bereit, um die Schwachstelle zu beheben. Anwender von xt:commerce werden bereits per Newsletter über das Problem informiert und wie sie den vom Dienstleister Phoenix Medien entwickelten Patch installieren müssen. ipayment will im Laufe des heutigen Tages seine ipayment-Händler anschreiben, die die genannten Shopsysteme einsetzen.

Darüber hinaus werden die Shops mit dem Patch nun auch den Anforderungen der Kreditkartenherausgeber gerecht. Bislang verarbeiten sie trotz gegenteiliger Behauptung nämlich sehr wohl Kreditkartendaten, was sie laut PCI-DSS-Standard (PDF-Dokument) eigentlich nicht dürften – und weshalb sie ja auf externe Zahlungsdienstleister wie ipayment zurückgreifen.

Der c't-Artikel "Zechpreller" in der am kommenden Montag, den 3. März, erscheinenden Ausgabe 06/08 berichtet über weitere Details zu der Schwachstelle und dessen Lösung. Der Sicherheitsdienstleister SySS wird zudem auf dem Heise Forum '08 "Sicherheit und IT-Recht" (Halle 5, Stand E38) jeweils Mittwoch, Freitag und Sonntag um 14 Uhr das Live-Hacking eines eigens dafür aufgesetzten Webshops durch die von ihm aufgedeckte Lücke zeigen.

Siehe dazu auch:

(dab)