[Rio-pm] [OT]: PagSeguro facilita fraudes em pagamento

Eduardo Maia maia em eduardomaia.com
Terça Julho 19 06:43:06 PDT 2011 

Correto, Marcos, isso não é um bug, mas sim uma falha na arquitetura. Eu
utilizei o termo "bug" no blog porque ele é mais compreensível por usuários
comuns.

O PagSeguro não checa o HTTP_REFERER, mas isso é fácil forjar também, é só
informar o HTTP_REFERER desejado no header da requisição HTTP.

Quanto ao boleto bancário, sim, também é possível alterar o valor total. Não
são todos os boletos que ficam registrados no banco, existe a categoria
chamada literalmente "sem registro", que você gera dentro do seu sistema e
não informa ao banco a geração do boleto. O banco só fica sabendo na hora do
pagamento.

Só que o conceito "boleto bancário" é literalmente da época da vovó, e não
foi modernizado. Tem carteira de cobrança que ainda demora 2 dias úteis para
o banco informar que um boleto XPTO foi pago.

Não contem pra ninguém. Nem tentem fazer isso em casa.

Existe uma empresa de médio porte que você pode gerar um boleto bancário,
usando logicamente o mesmo "Nosso número" do boleto que você recebeu ("nosso
número" é uma espécie de primary key), mas com um valor bem mais baixo. Você
paga o boleto baratim baratim, e recebe um certificado de quitação. Nego
confere só o "Nosso Número" / primary key, não confere o valor, multas e
etc. E é assim que funciona no geral.

Sabe aquele crediário de 18 prestações que você abriu naquele grande
varejista? Você paga 10 meses de uma só vez. Aí fica 7 meses sem pagar. Você
não está devendo nada, afinal pagou 10 meses antecipados. Nego coloca seu
nome no SPC pq você está há 7 meses sem pagar. Falo isso depois de uma
conversa com um advogado conhecido meu, que era analista de sistemas antes
de ser advogado, e ganha uma grana processando o mesmo varejista através de
diversos clientes. O varejista paga as indenizações, mas não corrige a
porcaria do sistema.

Resumindo... os sistemas de pagamento do Brasil são uma vergonha...



2011/7/19 Marcos Machado <listas em istf.com.br>

> Tecnicamente acho que isso nem poderia ser considerado um bug. É apenas um
> projeto ruim com erros conceituais.
>
> Esse problema existe desde o início dos tempos. Há pelo menos 4 anos enviei
> um e-mail ao PagSeguro sobre esse problema, que descobri quando estava
> pesquisando meios de pagamento para montar uma loja virtual para minha
> esposa.
>
> Acho que na época ainda se chamava BRPay.
>
> Vi que o valor repassado ao site era facilmente adulterado quando testei
> através dessa ferramenta:
> http://portswigger.net/burp/proxy.html
> (muito mais fácil do que salvar o html e alterar, o que pode dar problema
> com o a var referer)
>
> Agora, esse problema não existe também para pagamentos com boletos
> bancários? Eu não poderia pagar um valor abaixo do informado, cabendo ao
> lojista conferir o resultado?
>
> []s, MM
>
>
>
> 2011/7/19 Marcio Ferreira <marciodesouzaferreira em gmail.com>
>
>> não é possível, isso deve ser um backdoor. Inadimissivel,
>> incompreensivel,
>> inconcebível, até impossível que um programador permita uma
>> vulnerabilidade
>> dessas, principalmente se tratando de dinheiro.
>>
>> Qualquer júnior firebug pode ficar rico explorando esse tipo de
>> vulnerabilidade.
>> É tão infantil que nem dá vontade de testar =P
>>
>> Preciso de um aumento =P
>>
>> []s,
>>
>> @_marcioferreira
>> Marcio Ferreira
>> marciodesouzaferreira.blogspot.com
>>
>> "Perl lives as the 'toolbox for Unix' "
>>
>>
>>
>> 2011/7/19 Eduardo Maia <maia em eduardomaia.com>
>>
>>>  Tô com uma cliente aqui que passou por uma dessa. Estava esperta e não
>>> enviou o produto.
>>>
>>> Quem comentar ganha um doce no próximo ES:
>>>
>>>
>>> http://blog.eduardomaia.com/2011/07/bug-no-pagseguro-possibilita-fraudes-em.html
>>> _______________________________________________
>>> Rio-pm mailing list
>>> Rio-pm em pm.org
>>> http://mail.pm.org/mailman/listinfo/rio-pm
>>>
>>
>>
>> _______________________________________________
>> Rio-pm mailing list
>> Rio-pm em pm.org
>> http://mail.pm.org/mailman/listinfo/rio-pm
>>
>
>
> _______________________________________________
> Rio-pm mailing list
> Rio-pm em pm.org
> http://mail.pm.org/mailman/listinfo/rio-pm
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://mail.pm.org/pipermail/rio-pm/attachments/20110719/b95d4319/attachment.html>

Mais detalhes sobre a lista de discussão Rio-pm