V zabezpečení Paypalu bola vážna chyba, už je odstránená

XSS chyba v zabezpečení PayPal umožňuje hackerom prístup na nekódované kreditné karty.

Egyptský bezpečnostný expert Ebrahim Hegazy objavil napadnuteľnosť Stored Cross Site Scripting (XSS) v doméne bezpečných platieb Paypalu. Cross Site Scripting je metóda narušenia webových stránok využitím bezpečnostných chýb v skriptoch, predovšetkým v neošetrených vstupoch. Útočník týmto spôsobom môže do webových stránok dostať svoje javaskriptové kódy, pomocou ktorých môže buď zmeniť vzhľad stránky, zisťovať citlivé údaje o užívateľoch, alebo stránku úplne znefunkčniť.

Doméne PayPal dôverujú denne milióny ľudí práve pre bezpečné nákupy výrobkov z onlinových obchodov. Prostredníctvom XSS však útočník môže na stránke nastaviť falošný online-obchod alebo ovládnuť už existujúce obchody, ktorými oklame užívateľa a získa tak jeho citlivé osobné a finančné údaje. Kedykoľvek by tak užívateľ pri platení účtu klikol na tlačidlo „Platiť“, bol by presmerovaný na stránky, ktoré by vyzerali ako zabezpečené stránky platieb. Phishingová stránka by následne získala údaje o zákazníkovi a bola by schopná aj bez vedomia zákazníka pozmeniť výšku platby.

Našťastie, PayPal už napadnuteľnosť opravil a Ebrahima Hegazyho odmenil sumou vo výške približne 665 eur.

(AS)