Звукова лазівка ​​дозволяє будь-кому безкоштовно завантажити необмежену кількість аудіокниг

Недоліки безпеки в Audible означають, що сайт не чекає автентифікації платежів за допомогою кредитної картки, перш ніж дозволити користувачам купувати книги, тобто кожен може надати сайту підроблену інформацію та завантажити необмежену кількість аудіокниг.

дозволяє

У відео, наданому Business Insider, Алан Джозеф, 19-річний студент інформатики з Бангалору, Індія, продемонстрував лазівку. Business Insider зміг повторити техніку, яку використовував Джозеф для завантаження аудіокниг безкоштовно.

За допомогою підробленого імені, підробленої адреси електронної пошти та підробленої кредитної картки користувачі можуть створити обліковий запис на Audible та придбати будь-яку програму-учасника. Business Insider зміг придбати найдорожчу програму членства - "Платинове щорічне членство" на 249 доларів США, використовуючи підроблену інформацію про кредитну картку.

Після того, як членство застосовується до облікового запису, користувачі отримують кілька кредитів для придбання книг як частини членства. Незважаючи на використання рандомізованих фальшивих даних картки, кредити все ще застосовуються до рахунків.

Amazon перевіряє інформацію про кредитну картку лише після того, як користувач "купує" аудіокнигу за допомогою кредиту, отриманого в рамках програми членства, придбаної за допомогою підробленої кредитної картки.

Але попередження, яке Amazon відображає після спроби перевірити платіж, легко уникнути. Все, що потрібно зробити користувачам, - це поновити своє членство, використовуючи фальшиві дані картки, і у них є більше кредитів для придбання аудіокниг.

Електронні листи, показані Business Insider, показують, що Amazon та Audible вперше були проінформовані про експлойт у березні 2013 року, проте не змогли відповісти на неодноразові попередження про лазівку.

У заяві Business Insider компанія Audible підкреслила, що дані про клієнтів не піддаються ризику через лазівку на сайті, зазначивши: "Це проблема шахрайства, а не проблема безпеки. Шахрайська діяльність не піддавала жодним даним клієнтів ризик впливу., а також це не вплинуло на досвід клієнтів при використанні Audible.com; жоден чесний клієнт Audible не постраждав і не постраждає від цього. Хоча ми постійно працюємо над поліпшенням зручності користування клієнтами, будь-яке миттєве порушення швидко усувається через наш процес, коли використовуються недійсні кредитні картки. Ми сприймаємо акт шахрайства дуже серйозно - і завжди маємо, і завжди буде ".

Якщо Audible перевіряв дані кредитної картки перед тим, як надавати рахунки кредитними книгами, тоді лазівка ​​не спрацює. Але веб-сайт має невимушений підхід до безпеки, що дозволяє користувачам реєструватися з підробленими адресами електронної пошти та купувати товари, не вимагаючи стільки підтвердження використовуваної адреси електронної пошти.