Έλληνες προγραμματιστές κατόρθωσαν, σύμφωνα με πληροφορίες που κοινοποιήσαν στην συντακτική ομάδα του SecNews, να εντοπίσουν αδυναμία στην διαχείριση του Paysafe API. Συγκεκριμένα οι προγραμματιστές του SoccerBot (λογισμικό το οποίο βοηθάει τους παίχτες του στοιχήματος να αναζητούν πολύ γρήγορα πιθανά αποτελέσματα αγώνων ποδοσφαίρου σύμφωνα με τους δημιουργούς του) εντόπισαν την αδυναμία στο API της Paysafe.
Οι προγραμματιστές του Soccerbot-Team, Kondor και Zerocode ή +Serializer+, σύμφωνα με όσα αναφέρει ο Zerocode στην επικοινωνία του με συντάκτη του SecNews, δημιούργησαν το Proof of Concept της αδυναμίας. Όπως διευκρινίζουν μάλιστα, η αδυναμία δεν βρίσκεται στο API αλλά στην εκμετάλλευση ενός απροστάτευτου σημείου της Paysafe που δίνει την δυνατότητα δημιουργίας κώδικα που λειτουργεί ως “εξουσιοδοτημένο” API.
Η ανακάλυψη της αδυναμίας έγινε από τυχαίο γεγονός. Η εφαρμογή υποστήριζε αρχικά μόνο Paypal όποτε λόγω αυξημένης ζήτησης από τους χρήστες της εφαρμογής Soccerbot οι προγραμματιστές θεώρησαν σημαντικό να υποστηρίξουν Paysafe. Κατά την διαδικασία λοιπόν της απαραίτητης υλοποίησης, οι προγραμματιστές Kondor και Zerocode ή +Serializer+ εντόπισαν την αδυναμία και ενημέρωσαν ΑΜΕΣΑ την Paysafe ώς όφειλαν.
Για τον σκοπό αυτό δημιούργησαν Python script (φαίνεται στο σχετικό video που δημοσιοποιούμε παρακάτω) με την επωνυμία paysafe_cracked_api.py. Ο κώδικας-απόδειξη δημιουργήθηκε στο τοπικό εξυπηρετητή, μιας και στόχος των προγραμματιστών δεν ήταν ο προσπορισμός κέρδους αλλά η ενημέρωση της εταιρείας σχετικά με την αδυναμία.
Το Script κατά την επικοινωνία που πραγματοποιεί ελέγχει αν υπάρχουν αιτήματα συναλλαγών.Έαν υπάρχουν συλλέγει τα στοιχεία και συνδέεται σε μη προστατευμένο μέρος της Paysafe (αυτόματα όπως αναφέρει ο Zerocode) για να καταθέσει το ποσό σε λογαριασμό που αντιστοιχεί σε κάρτα τράπεζας.