Уязвимость в Paypal позволяла удалить чужую учетную запись (обновлено)

image

Теги: PayPa, новость

Администрация сервиса уже устранила брешь и пообещала выплатить $5000 обнаружившему ее эксперту.

Согласно сообщению исследователя информационной безопасности Йонута Черника (Ionut Cernica) из компании Vulnerability Lab, платежный сервис Paypal содержал опасную уязвимость, позволявшую злоумышленникам удалить чужую учетную запись.

«В результате проведения нескольких тестов с web-приложением paypal.com мне удалось выяснить, что владелец учетной записи из США при посещении этой страницы может добавить оттуда новый адрес электронной почты. Проблема заключается в том, что указанный пользователем адрес добавляется без подтверждения даже в том случае, если он уже кем-то используется», - пояснил эксперт.

В результате осуществления такой привязки чужого адреса электронной почты и его последующего удаления происходит также и автоматическое удаление оригинальной учетной записи.

По словам Черника, в настоящий момент брешь уже устранена, однако его удивляет сам факт того, что она позволяла провести такую простую в эксплуатации и опасную в плане последствий атаку. Он также отметил, что представители Paypal обязались выплатить ему вознаграждение в размере $5000.

Ознакомиться с отчетом Vulnerability Lab можно здесь

Обновлено 26.08.2013

У компании PayPal есть следующий комментарий на эту тему:

«В связи с недавними публикациями об уязвимости системы PayPal, связанной с возможностью добавлять адрес электронной почты к чужой учетной записи, мы хотим заявить о том, что никогда не получали никаких достоверных сведений о подобных ошибках, связанных с использованием веб-сайта PayPal.com, и не предлагали соответствующее вознаграждение. В компании PayPal действует программа финансового вознаграждения Bug Bounty, в рамках которой независимые исследователи могут сообщить нам об обнаруженных на веб-сайте ошибках. Данная программа разработана для поощрения специалистов, помогающих укреплять безопасность системы PayPal в интересах наших пользователей.»


или введите имя

CAPTCHA