Súlyos biztonsági hibát szüntetett meg a PayPal

A PayPal egy meglehetősen veszélyes sebezhetőséget szüntetett meg a weboldalán. A biztonsági rés elsősorban az adathalászokat segíthette értékes információk bezsebelésében.
 

A PayPal - hasonlóan több más vállalathoz - már korábban útjára indította azt a kezdeményezését, amelynek keretében jutalmazza azon biztonsági kutatókat, akik első kézből jeleznek számára sebezhetőségeket. Ez történt akkor is, amikor Ebrahim Hegazy egyiptomi szakember egy olyan biztonsági résre lett figyelmes a népszerű online fizetési oldal kapcsán, amely adatlopásra adhatott lehetőséget. A felfedezéséről júniusban értesítette a PayPal illetékes csapatát. Ugyanakkor a hibajavítások elkészítése már nem ment ilyen gyorsan, hiszen a vállalat csak augusztus 25-én értesítette arról a kutatót, hogy sikeresen megszüntette a sérülékenységet.

Amit a biztonsági résről tudni érdemes

A Hegazy által feltárt sebezhetőség tulajdonképpen XSS (cross-site scripting) alapú támadásokra adott módot. A támadóknak nem volt túlságosan nehéz feladatuk, hiszen mindössze egy speciálisan összeállított hivatkozásra való kattintásra kellett rábírniuk a felhasználókat. Egy támadás egy saját webáruház vagy egy feltört webshop bevonásával kezdődhetett, melyen mindössze a "fizetés" vagy a "Checkout" gomb volt manipulált. Amikor erre a vásárló rákattintott, akkor a PayPal hivatalos oldalára került. Ezen azonban egy olyan webes űrlap jelent meg, amelynek kitöltését követően az adatok rögtön a csalók kezébe kerültek. A kockázatokat fokozta, hogy mivel a hivatalos PayPal oldal manipulálására kerülhetett sor, ezért a webböngészőkben nem jelent meg tanúsítványokkal kapcsolatos riasztás. Visszaélésre az alábbi link adhatott lehetőséget:
https://securepayments.paypal.com/vulnerablepage?param=[a támadók kódja]

Ebrahim Hegazy egy videót is készített a támadási módszer szemléltetése érdekében:
"A PayPal nagyon komolyan veszi az ügyfelek adatainak, pénzének, valamint a számlakkal kapcsolatos információknak a védelmét, és azon dolgozott, hogy gyorsan megszüntethetővé váljon a SecurePayment hibája. Nincs bizonyítékunk arra, hogy a szóban forgó sérülékenység kihasználásával valamely PayPal fiók kompromittálódott volna" - közölte a vállalat képviselője. Majd hozzátette, hogy a jövőben is számítanak a biztonsági közösség támogatására, és ha valaki sebezhetőséget fedez fel, akkor azt a Bug Bounty Program keretében bármikor jelezheti. 

Az egyiptomi kutató a felfedezéséért 750 dollárt kapott, ami a PayPalnál a legmagasabb kiosztható összeg az XSS-sebezhetőségek kategóriájában.