Xakep #305. Многошаговые SQL-инъекции
На сайте eBay действует стандартная партнерская программа, как и на многих других сайтах. Каждый зарегистрированный участник может получить персональный партнерский код и уникальные ссылки для размещения на своих сайтах. Если пользователи будут переходить по этим ссылкам на сайт eBay, то участник партнерской программы получит небольшой процент от потраченных ими денег. В программе eBay постоянно участвуют около 26 000 партнеров, а американец Шоун Хоган (Shawn Hogan, на фото) со своей фирмой Digital Point Solutions был крупнейшим среди них.
В то время как средний партнер получает всего лишь $2700 ежегодно, Шоун заработал аж 28 миллионов долларов с 1999 года. Фактически, на него приходилось до 15% общих партнерских выплат, и история закончилась печально для Хогана.
Компания eBay с 2006 года сотрудничает с ФБР, вычисляя недобросовестных участников партнерской программы. Хоган тоже попал под подозрение в связи с тем, что объемы партнерских выплат были уж слишком большими.
Проведенное расследование показало, что Хоган разработал схему подсаживания патнерских «куков» на компьютеры пользователей (cookie stuffing). Таким образом, он присвоил себе партнерские выплаты от покупок сотен тысяч юзеров.
На момент ареста Шоун Хоган был крупнейшим партнером eBay по размеру выплат. На втором месте был другой американец Брайан Даннинг (Brian Dunning), который использовал такую же мошенническую схему, заработал около $7 млн комиссионных и тоже впоследствии был арестован.
Каждому из аферистов теперь грозит до 20 лет тюрьмы. Следствие выяснило, что оба «бизнесмена» познакомились и обсуждали свои делишки в чате World of Warcraft. Они разработали похожие виджеты WhoLinked и Geo Visitors для блогов, с помощью которых устанавливали куки на компьютеры всех посетителей этих блогов. Хоган «заразил» около 650 тыс. человек, а Даннинг — около 20 тыс.