Администрация сервиса уже устранила брешь и пообещала выплатить $5000 обнаружившему ее эксперту.
Согласно сообщению исследователя информационной безопасности Йонута Черника (Ionut Cernica) из компании Vulnerability Lab, платежный сервис Paypal содержал опасную уязвимость , позволявшую злоумышленникам удалить чужую учетную запись.
«В результате проведения нескольких тестов с web-приложением paypal.com мне удалось выяснить, что владелец учетной записи из США при посещении этой страницы может добавить оттуда новый адрес электронной почты. Проблема заключается в том, что указанный пользователем адрес добавляется без подтверждения даже в том случае, если он уже кем-то используется», - пояснил эксперт.
В результате осуществления такой привязки чужого адреса электронной почты и его последующего удаления происходит также и автоматическое удаление оригинальной учетной записи.
По словам Черника, в настоящий момент брешь уже устранена, однако его удивляет сам факт того, что она позволяла провести такую простую в эксплуатации и опасную в плане последствий атаку. Он также отметил, что представители Paypal обязались выплатить ему вознаграждение в размере $5000.
Ознакомиться с отчетом Vulnerability Lab можно здесь .
Обновлено 26.08.2013
У компании PayPal есть следующий комментарий на эту тему:
«В связи с недавними публикациями об уязвимости системы PayPal, связанной с возможностью добавлять адрес электронной почты к чужой учетной записи, мы хотим заявить о том, что никогда не получали никаких достоверных сведений о подобных ошибках, связанных с использованием веб-сайта PayPal.com, и не предлагали соответствующее вознаграждение. В компании PayPal действует программа финансового вознаграждения Bug Bounty, в рамках которой независимые исследователи могут сообщить нам об обнаруженных на веб-сайте ошибках. Данная программа разработана для поощрения специалистов, помогающих укреплять безопасность системы PayPal в интересах наших пользователей.»