Egyiptomi biztonsági kutató fedezett fel súlyos hibát a PayPal weboldalán. Az Ebrahim Hegazy találta hiba elsősorban adatlopásra adott lehetőséget. A dolog azért izgalmas – és a fizetési oldal használóitól is odafigyelést követel –, mert Hegazy már júniusban megtalálta a biztonsági rést, és értesítette is a PayPal biztonsági csapatát, ám ők a javításokkal csak augusztus 25-én készültek el – írta a Biztonságportál.
Magát a PayPal oldalt lehetett manipulálni
A sebezhetőség ún. XSS (cross-site scripting) alapú támadásokra ad módot, ráadásul nagyon egyszerűen. A támadónak arra kellett valahogy rávennie a felhasználókat, hogy kattintsanak egy speciálisan összeállított hivatkozásra.
Egy támadás egy saját webáruház vagy egy feltört webshop bevonásával kezdődhet, melyen manipulálják a "fizetés" vagy a "Checkout" gombot. Amikor a vásárló rákattintott erre a gombra, a PayPal hivatalos oldalára kerül. Csakhogy azon egy olyan webes űrlap jelenik meg, amelynek kitöltését követően az adatok rögtön a csalók kezébe kerülnek.
A kockázatokat fokozta, hogy mivel a támadó a hivatalos PayPal oldalt tudja manipulálni, ezért a webböngészőkben nem jelenik meg tanúsítványokkal kapcsolatos riasztás. Maga a link sem árulkodó:
https://securepayments.paypal.com/vulnerablepage?param=[a támadók kódja]
A hiba kihasználásának menetéről érdemes megnézni Hegazy videóját a cikk végén.
Nem találtak támadásra utaló jeleket
Az némileg megnyugtató lehet a fizetési szolgáltatást használóknak, hogy a PayPal szóvivője szerint a biztonsági csapat nem talált arra utaló jeleket, melyek a SecurePayment hibájának kihasználására utalnának, azaz a hibával nem kompromittáltak PayPal-fiókat.
A cég 750 dollárt fizetett Ebrahim Hegazynak, aki az ún. Bug Bounty Program keretében jelezte a hibát. A szolgáltató jutalmazási programjában ez a legmagasabb összeg, amit XSS támadást lehetővé tevő sebezhetőségért ki lehet fizetni.
A PayPal 2012-ben indította a jutalmazási programját, amit aztán egy évvel később át is alakított. Néhány kellemetlen ügy után ugyanis két éve úgy döntöttek, hogy 14 éves kortól fizetnek a biztonsági rések feltáróinak. (Korábban ugyanis 18 év volt az alsó korhatár.)
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak