Nilаr
.
- Регистрация
- 19.08.13
- Сообщения
- 81
Администрация сервиса уже устранила брешь и пообещала выплатить $5000 обнаружившему ее эксперту.
Согласно сообщению исследователя информационной безопасности Йонута Черника (Ionut Cernica) из компании Vulnerability Lab, платежный сервис Paypal содержал опасную уязвимость, позволявшую злоумышленникам удалить чужую учетную запись.
«В результате проведения нескольких тестов с web-приложением paypal.com мне удалось выяснить, что владелец учетной записи из США при посещении этой страницы "https://www.paypal.com/us/cgi-bin/webscr?cmd=_flow&SESSION=h8-4ATSLFU47fzFxOKFokPzapCMkafH6-n8luRoRsh5evoRqx9QhpDr7XoO&dispatch=5885d80a13c0db 1f8e263663d3faee8d48a116ba977951b3435308b8c4dd4ef1 " может добавить оттуда новый адрес электронной почты. Проблема заключается в том, что указанный пользователем адрес добавляется без подтверждения даже в том случае, если он уже кем-то используется», - пояснил эксперт.
В результате осуществления такой привязки чужого адреса электронной почты и его последующего удаления происходит также и автоматическое удаление оригинальной учетной записи.
По словам Черника, в настоящий момент брешь уже устранена, однако его удивляет сам факт того, что она позволяла провести такую простую в эксплуатации и опасную в плане последствий атаку. Он также отметил, что представители Paypal обязались выплатить ему вознаграждение в размере $5000.
Согласно сообщению исследователя информационной безопасности Йонута Черника (Ionut Cernica) из компании Vulnerability Lab, платежный сервис Paypal содержал опасную уязвимость, позволявшую злоумышленникам удалить чужую учетную запись.
«В результате проведения нескольких тестов с web-приложением paypal.com мне удалось выяснить, что владелец учетной записи из США при посещении этой страницы "https://www.paypal.com/us/cgi-bin/webscr?cmd=_flow&SESSION=h8-4ATSLFU47fzFxOKFokPzapCMkafH6-n8luRoRsh5evoRqx9QhpDr7XoO&dispatch=5885d80a13c0db 1f8e263663d3faee8d48a116ba977951b3435308b8c4dd4ef1 " может добавить оттуда новый адрес электронной почты. Проблема заключается в том, что указанный пользователем адрес добавляется без подтверждения даже в том случае, если он уже кем-то используется», - пояснил эксперт.
В результате осуществления такой привязки чужого адреса электронной почты и его последующего удаления происходит также и автоматическое удаление оригинальной учетной записи.
По словам Черника, в настоящий момент брешь уже устранена, однако его удивляет сам факт того, что она позволяла провести такую простую в эксплуатации и опасную в плане последствий атаку. Он также отметил, что представители Paypal обязались выплатить ему вознаграждение в размере $5000.