PayPal opravil chybu, která hackerům umožnila odstranit jakýkoliv účet

PayPal opravil chybu, která hackerům umožnila odstranit jakýkoliv účet

Ionut Cernica, nezávislý bezpečnostní výzkumník pracující s Vulnerability Lab, přišel na závažnou chybu v PayPalu, která by zločincům mohla pomoci odstranit jakýkoliv účet a vytvořit nový se zcela stejným uživatelským jménem. Naštěstí se tato chyba týkala jen amerických účtů.

Chyba zabezpečení mohla být využívána i na dálku a nevyžadovala žádnou interakci s obětí. Byla tak dostupná téměř pro každého hackera.

„Po testování webové aplikace paypal.com jsem objevil, že pokud máte americký účet a navštívíte určité stránky, můžete přidat nový email z těchto stránek. Problémem je, že i když se pokusíte přidat email do svého již registrovaného PayPal účtu, nový email bude na váš účet přidán jako nepotvrzený. Pokud po přidání existujícího emailového účtu jdete na svůj profil a odstraníte nepotvrzený email, bude smazán i původní účet,“ vysvětlil ve své zprávě.

Po tom, co byl originální účet odstraněn, mohl útočník zaregistrovat nový účet se stejným uživatelským jménem, který měl právě odstraněný účet. Avšak nový účet by byl nepotvrzený.

Podle Vulnerability Lab byla záležitost objevena na konci dubna a v ten stejný čas byla oznámena PayPalu. Společnost to měla v květnu řešit, nicméně Cernica uvedl, že i později byl schopen chybu využívat. Odborníci se domnívají, že PayPal to začal pořádně řešit až během tohoto měsíce.

Podívejte se na video, které ukazuje, jak mohla být chyba v zabezpečení využita:

Zdroj: Softpedia

Komentáře

Nahoru