Egyiptomi biztonsági kutató fedezett fel súlyos hibát a PayPal weboldalán. Az Ebrahim Hegazy találta hiba elsősorban adatlopásra adott lehetőséget. A dolog azért izgalmas – és a fizetési oldal használóitól is odafigyelést követel –, mert Hegazy már júniusban megtalálta a biztonsági rést, és értesítette is a PayPal biztonsági csapatát, ám ők a javításokkal csak augusztus 25-én készültek el – írta a Biztonságportál.
Magát a PayPal oldalt lehetett manipulálni
A sebezhetőség ún. XSS (cross-site scripting) alapú támadásokra ad módot, ráadásul nagyon egyszerűen. A támadónak arra kellett valahogy rávennie a felhasználókat, hogy kattintsanak egy speciálisan összeállított hivatkozásra.
Egy támadás egy saját webáruház vagy egy feltört webshop bevonásával kezdődhet, melyen manipulálják a "fizetés" vagy a "Checkout" gombot. Amikor a vásárló rákattintott erre a gombra, a PayPal hivatalos oldalára kerül. Csakhogy azon egy olyan webes űrlap jelenik meg, amelynek kitöltését követően az adatok rögtön a csalók kezébe kerülnek.
A kockázatokat fokozta, hogy mivel a támadó a hivatalos PayPal oldalt tudja manipulálni, ezért a webböngészőkben nem jelenik meg tanúsítványokkal kapcsolatos riasztás. Maga a link sem árulkodó:
https://securepayments.paypal.com/vulnerablepage?param=[a támadók kódja]
A hiba kihasználásának menetéről érdemes megnézni Hegazy videóját a cikk végén.
Nem találtak támadásra utaló jeleket
Az némileg megnyugtató lehet a fizetési szolgáltatást használóknak, hogy a PayPal szóvivője szerint a biztonsági csapat nem talált arra utaló jeleket, melyek a SecurePayment hibájának kihasználására utalnának, azaz a hibával nem kompromittáltak PayPal-fiókat.
A cég 750 dollárt fizetett Ebrahim Hegazynak, aki az ún. Bug Bounty Program keretében jelezte a hibát. A szolgáltató jutalmazási programjában ez a legmagasabb összeg, amit XSS támadást lehetővé tevő sebezhetőségért ki lehet fizetni.
A PayPal 2012-ben indította a jutalmazási programját, amit aztán egy évvel később át is alakított. Néhány kellemetlen ügy után ugyanis két éve úgy döntöttek, hogy 14 éves kortól fizetnek a biztonsági rések feltáróinak. (Korábban ugyanis 18 év volt az alsó korhatár.)
a melléklet támogatója a ONE Solutions
CIO kutatás
Merre tart a vállalati IT és annak irányítója?
Hiánypótló nagykép a hazai nagyvállalati informatikáról és az IT-vezetőkről: skillek, felelősségek, feladatkörök a múltban, a jelenben és a jövőben.
Töltse ki Ön is, hogy tisztábban lássa, hogyan építse vállalata IT-ját és saját karrierjét!
Az eredményeket május 8-án ismertetjük a 17. CIO Hungary konferencián.
Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?