Az elhárításhoz két hónap kellett. A felhasználóknak nincs teendőjük, de az éberség sohasem árt!

Egyiptomi biztonsági kutató fedezett fel súlyos hibát a PayPal weboldalán. Az Ebrahim Hegazy találta hiba elsősorban adatlopásra adott lehetőséget. A dolog azért izgalmas – és a fizetési oldal használóitól is odafigyelést követel –, mert Hegazy már júniusban megtalálta a biztonsági rést, és értesítette is a PayPal biztonsági csapatát, ám ők a javításokkal csak augusztus 25-én készültek el – írta a Biztonságportál.

Magát a PayPal oldalt lehetett manipulálni

A sebezhetőség ún. XSS (cross-site scripting) alapú támadásokra ad módot, ráadásul nagyon egyszerűen. A támadónak arra kellett valahogy rávennie a felhasználókat, hogy kattintsanak egy speciálisan összeállított hivatkozásra.

Egy támadás egy saját webáruház vagy egy feltört webshop bevonásával kezdődhet, melyen manipulálják a "fizetés" vagy a "Checkout" gombot. Amikor a vásárló rákattintott erre a gombra, a PayPal hivatalos oldalára kerül. Csakhogy azon egy olyan webes űrlap jelenik meg, amelynek kitöltését követően az adatok rögtön a csalók kezébe kerülnek.

A kockázatokat fokozta, hogy mivel a támadó a hivatalos PayPal oldalt tudja manipulálni, ezért a webböngészőkben nem jelenik meg tanúsítványokkal kapcsolatos riasztás. Maga a link sem árulkodó:

https://securepayments.paypal.com/vulnerablepage?param=[a támadók kódja]

A hiba kihasználásának menetéről érdemes megnézni Hegazy videóját a cikk végén.

Nem találtak támadásra utaló jeleket

Az némileg megnyugtató lehet a fizetési szolgáltatást használóknak, hogy a PayPal szóvivője szerint a biztonsági csapat nem talált arra utaló jeleket, melyek a SecurePayment hibájának kihasználására utalnának, azaz a hibával nem kompromittáltak PayPal-fiókat.

A cég 750 dollárt fizetett Ebrahim Hegazynak, aki az ún. Bug Bounty Program keretében jelezte a hibát. A szolgáltató jutalmazási programjában ez a legmagasabb összeg, amit XSS támadást lehetővé tevő sebezhetőségért ki lehet fizetni.

A PayPal 2012-ben indította a jutalmazási programját, amit aztán egy évvel később át is alakított. Néhány kellemetlen ügy után ugyanis két éve úgy döntöttek, hogy 14 éves kortól fizetnek a biztonsági rések feltáróinak. (Korábban ugyanis 18 év volt az alsó korhatár.)

Biztonság

A kínaiak optimisták, a világ nagy része gyanúsan méregeti a digitalizációt

Egy frissen közzétett globális felmérés rávilágít, hogy a technológiai fejlődés önmagában nem sokra vezet, ha az emberek bizalmatlanok, és nem is részesülnek széles körben annak előnyeiből.
 
Hirdetés

Ezért vannak biztonságban személyes adataink a felhőben

Nyakunkon az új európai adatvédelmi rendelet bevezetésének határideje, ami minden, adatkezelést végző vállalatra vonatkozik. A felhőszolgáltatók azonban elébe mentek a GDPR-nak.

Nemzeti szinten eddig is szigorú rendelkezések vonatkoztak az érzékeny adatok megsemmisítésére, de az Európai Unió Általános Adatvédelmi Rendeletének hatályba lépése után senki sem kerülheti el az információtörlés folyamatos feladatát.

a melléklet támogatója az Aruba Cloud

A koncentrált erőforrások kockázatai is koncentráltan jelentkeznek. Az informatikai szolgáltatóknak, felhős cégeknek érdemes lenne körülnézniük a közműszolgáltatóknál, hogyan kezelik ezt a problémát.

Sikeremberektől is tanultak a CIO-k

a Bitport
a Vezető Informatikusok Szövetségének
médiapartnere

Hogyan forradalmasítja a számítástechnikát a nanotechnológia? Majzik Zsolt kutató (IBM Research-Zürich) írása. Vigyázat, mély víz! Ha elakadt, kattintson a linkekre magyarázatért.
Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthetően, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport kilencedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2018 Bitport.hu Média Kft. Minden jog fenntartva.