A+ A A-

Уязвимость PayPal позволяла злоумышленникам удалять аккаунты

  • Обновлено 28.08.2013 02:29
  • Автор: Алексей Мацаев

Ионуц Церника, независимый исследователь безопасности, работающий с Vulnerability Lab, обнаружил критическую ошибку безопасности PayPal, позволяющую киберпреступникам удалять любые счета в системе, заменяя их на новые с тем же именем пользователя. На данный момент ошибка исправлена.

Уязвимостью можно было воспользоваться удаленно, без ведома самой жертвы. Достаточно было знать ее регистрационный email и добавить его в профайл в другом аккаунте. Даже существующий в системе email добавится в новом аккаунте как неподтвержденный.

«После того как вы добавите существующий email к вашему аккаунту, пройдете в профайл и удалите неподтвержденный email, то привязанный к нему аккаунт удалится автоматически» – отметил исследователь в своем отчете.

Как только целевой аккаунт будет удален, злоумышленник сможет зарегистрировать новый аккаунт с тем же именем пользователя. Хотя, новый аккаунт не будет иметь баланса и потребует подтверждения.

По информации Vulnerability Lab, о проблеме впервые доложили PayPal в конце апреля, и компания отчиталась, что исправила ошибку в мае. Однако, по словам Церника, ошибка оставалась нетронутой еще несколько месяцев. По словам специалистов, уязвимость была исправлена только в августе.

Процесс удаления аккаунта PayPal подробно продемонстрирован в следующем видео:

Прим. редактора:

На днях компания PayPal прислала комментарий к данной новости:

«В связи с недавними публикациями об уязвимости системы PayPal, связанной с возможностью добавлять адрес электронной почты к чужой учетной записи, мы хотим заявить о том, что никогда не получали никаких достоверных сведений о подобных ошибках, связанных с использованием веб-сайта PayPal.com, и не предлагали соответствующее вознаграждение. В компании PayPal действует программа финансового вознаграждения Bug Bounty, в рамках которой независимые исследователи могут сообщить нам об обнаруженных на веб-сайте ошибках. Данная программа разработана для поощрения специалистов, помогающих укреплять безопасность системы PayPal в интересах наших пользователей.»

Источник: softpedia.com

Комментарии