Sondeamos 6.000 web apps para checagens de assinatura de webhook Stripe. 1.542 não se preocupam

Uma varredura em cerca de 6.000 endpoints de webhook do tipo Stripe enviou um evento checkout.session.completed falso, sem o cabeçalho Stripe-Signature, e registrou quais servidores ainda retornavam 2xx. Aproximadamente 1.542 endpoints o fizeram, indicando que eles processam eventos de pagamento não assinados que parecem legítimos. Muitos fluxos de SaaS atualizam usuários ou confirmam reservas diretamente dos campos do payload do webhook, permitindo que atacantes automatizem upgrades de planos gratuitos ou reservas não pagas com JSON manipulado. A solução é implementar a verificação oficial de assinatura do webhook usando os raw request bodies e SDK helpers específicos da stack, e então realizar novas varreduras direcionadas para confirmar o comportamento.