Súlyos biztonsági hibát szüntetett meg a PayPal
A PayPal egy meglehetősen veszélyes sebezhetőséget szüntetett meg a weboldalán. A biztonsági rés elsősorban az adathalászokat segíthette értékes információk bezsebelésében.A PayPal - hasonlóan több más vállalathoz - már korábban útjára indította azt a kezdeményezését, amelynek keretében jutalmazza azon biztonsági kutatókat, akik első kézből jeleznek számára sebezhetőségeket. Ez történt akkor is, amikor Ebrahim Hegazy egyiptomi szakember egy olyan biztonsági résre lett figyelmes a népszerű online fizetési oldal kapcsán, amely adatlopásra adhatott lehetőséget. A felfedezéséről júniusban értesítette a PayPal illetékes csapatát. Ugyanakkor a hibajavítások elkészítése már nem ment ilyen gyorsan, hiszen a vállalat csak augusztus 25-én értesítette arról a kutatót, hogy sikeresen megszüntette a sérülékenységet.
Amit a biztonsági résről tudni érdemes
A Hegazy által feltárt sebezhetőség tulajdonképpen XSS (cross-site scripting) alapú támadásokra adott módot. A támadóknak nem volt túlságosan nehéz feladatuk, hiszen mindössze egy speciálisan összeállított hivatkozásra való kattintásra kellett rábírniuk a felhasználókat. Egy támadás egy saját webáruház vagy egy feltört webshop bevonásával kezdődhetett, melyen mindössze a "fizetés" vagy a "Checkout" gomb volt manipulált. Amikor erre a vásárló rákattintott, akkor a PayPal hivatalos oldalára került. Ezen azonban egy olyan webes űrlap jelent meg, amelynek kitöltését követően az adatok rögtön a csalók kezébe kerültek. A kockázatokat fokozta, hogy mivel a hivatalos PayPal oldal manipulálására kerülhetett sor, ezért a webböngészőkben nem jelent meg tanúsítványokkal kapcsolatos riasztás. Visszaélésre az alábbi link adhatott lehetőséget:
https://securepayments.paypal.com/vulnerablepage?param=[a támadók kódja]
Ebrahim Hegazy egy videót is készített a támadási módszer szemléltetése érdekében:
"A PayPal nagyon komolyan veszi az ügyfelek adatainak, pénzének, valamint a számlakkal kapcsolatos információknak a védelmét, és azon dolgozott, hogy gyorsan megszüntethetővé váljon a SecurePayment hibája. Nincs bizonyítékunk arra, hogy a szóban forgó sérülékenység kihasználásával valamely PayPal fiók kompromittálódott volna" - közölte a vállalat képviselője. Majd hozzátette, hogy a jövőben is számítanak a biztonsági közösség támogatására, és ha valaki sebezhetőséget fedez fel, akkor azt a Bug Bounty Program keretében bármikor jelezheti.
Az egyiptomi kutató a felfedezéséért 750 dollárt kapott, ami a PayPalnál a legmagasabb kiosztható összeg az XSS-sebezhetőségek kategóriájában.
-
Kritikus fontosságú hibajavítás vált elérhetővé a ChromeOS-hez.
-
A ClamAV kapcsán egy közepes veszélyeségű sebezhetőségre derült fény.
-
Az IBM két sebezhetőségről számolt be a WebSphere Application Server kapcsán.
-
Az Oracle 71 hibajavítást adott ki az Oracle Linux operációs rendszerhez.
-
Több mint egy tucat biztonsági javítással bővült a Google Chrome.
-
Letölthető a VirtualBox legújabb kiadása benne 13 biztonsági javítással.
-
Az Oracle nyolc olyan biztonsági résről számolt be, amelyeket a Database Server kapcsán kellett orvosolnia.
-
A MySQL három tucat biztonsági frissítéssel gyarapodott.
-
Az Java több mint egy tucat biztonsági frissítést kapott.
-
A Microsoft három biztonsági rést foltozott be az Edge webböngészőn.
Minden szülő legrosszabb rémálma felvenni egy ismeretlen számról érkező hívást, és azt hallani, hogy a gyermeke segítségért kiált.
Az online társkeresés elterjedésével alapjaiban változott meg az emberek közötti kapcsolatteremtés.