Az elhárításhoz két hónap kellett. A felhasználóknak nincs teendőjük, de az éberség sohasem árt!
Hirdetés
 

Egyiptomi biztonsági kutató fedezett fel súlyos hibát a PayPal weboldalán. Az Ebrahim Hegazy találta hiba elsősorban adatlopásra adott lehetőséget. A dolog azért izgalmas – és a fizetési oldal használóitól is odafigyelést követel –, mert Hegazy már júniusban megtalálta a biztonsági rést, és értesítette is a PayPal biztonsági csapatát, ám ők a javításokkal csak augusztus 25-én készültek el – írta a Biztonságportál.

Magát a PayPal oldalt lehetett manipulálni

A sebezhetőség ún. XSS (cross-site scripting) alapú támadásokra ad módot, ráadásul nagyon egyszerűen. A támadónak arra kellett valahogy rávennie a felhasználókat, hogy kattintsanak egy speciálisan összeállított hivatkozásra.

Egy támadás egy saját webáruház vagy egy feltört webshop bevonásával kezdődhet, melyen manipulálják a "fizetés" vagy a "Checkout" gombot. Amikor a vásárló rákattintott erre a gombra, a PayPal hivatalos oldalára kerül. Csakhogy azon egy olyan webes űrlap jelenik meg, amelynek kitöltését követően az adatok rögtön a csalók kezébe kerülnek.

A kockázatokat fokozta, hogy mivel a támadó a hivatalos PayPal oldalt tudja manipulálni, ezért a webböngészőkben nem jelenik meg tanúsítványokkal kapcsolatos riasztás. Maga a link sem árulkodó:

https://securepayments.paypal.com/vulnerablepage?param=[a támadók kódja]

A hiba kihasználásának menetéről érdemes megnézni Hegazy videóját a cikk végén.

Nem találtak támadásra utaló jeleket

Az némileg megnyugtató lehet a fizetési szolgáltatást használóknak, hogy a PayPal szóvivője szerint a biztonsági csapat nem talált arra utaló jeleket, melyek a SecurePayment hibájának kihasználására utalnának, azaz a hibával nem kompromittáltak PayPal-fiókat.

A cég 750 dollárt fizetett Ebrahim Hegazynak, aki az ún. Bug Bounty Program keretében jelezte a hibát. A szolgáltató jutalmazási programjában ez a legmagasabb összeg, amit XSS támadást lehetővé tevő sebezhetőségért ki lehet fizetni.

A PayPal 2012-ben indította a jutalmazási programját, amit aztán egy évvel később át is alakított. Néhány kellemetlen ügy után ugyanis két éve úgy döntöttek, hogy 14 éves kortól fizetnek a biztonsági rések feltáróinak. (Korábban ugyanis 18 év volt az alsó korhatár.)

Biztonság

Nyakunkon az összehajtható Samsung okostelefon?

Egy véletlennek köszönhetően hullott le a lepel egy kísérleti készülékről.
 
A magánszektorban az egyetlen út a sikeres üzletmenethez az ügyfélen keresztül vezet. Ha értjük, mit akar, igényeit hatékonyan és gyorsan ki tudjuk elégíteni, akkor nincs menekvés a növekvő bevétel elől.

a melléklet támogatója a TOPdesk

Hirdetés

Agilis módszerek a szolgáltatás-menedzsmentben

Számos szervezet hozott olyan stratégiai döntést, hogy mindent agilis módszerek alapján kell csinálni. Az a felismerés indokolta ezt, hogy az elégedett ügyfelek és egy működő végtermék fontosabbak, mint a folyamatok vagy szerződések. A szolgáltatásmenedzsment területén ez különösen lényeges.

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport ötödik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2017 Bitport.hu Média Kft. Minden jog fenntartva.