PayPal исправляет ошибку, которая могла позволить хакерам воровать пароли

PayPal исправляет ошибку, которая могла позволить хакерам воровать пароли

Специалист по программному обеспечению обнаружил ошибку «высокой степени серьезности», которая подвергает риску данные пользователей, но компания исправила их до того, как чья-либо личная информация могла быть «раскрыта».

Уязвимость, которая могла позволить хакерам взломать пароли пользователей PayPal, была обнаружена на этой неделе после того, как исследователь Алекс Бирсан обратил на нее внимание компании-получив награду в размере 15 300 долларов и позволив компании устранить проблему.

«Несмотря на то, что это была потенциальная уязвимость, которую компания принесла через нашу программу по предоставлению ошибок, информация о пользователях не была раскрыта», - заявила пресс-секретарь PayPal Ким Эйхорн.

По словам компании, эта ошибка могла позволить пользователям раскрыть «жетон угрозы безопасности» на странице входа в систему PayPal для внешнего хакера.

Если пользователь ввел свои учетные данные PayPal после перехода по ссылке для входа с вредоносного сайта, хакер мог бы самостоятельно выполнить задачу безопасности и получить пароль пользователя в соответствии с кратким изложением проблемы PayPal.

«При правильном выборе времени и некотором взаимодействии с пользователем знания всех токенов, использованных в этом запросе, было достаточно для получения учетных данных жертвы PayPal», - написал Бирсан в публикации, опубликованной в среду . «В реальной ситуации атаки единственное, что необходимо для взаимодействия с пользователем, - это одно посещение контролируемой злоумышленником веб-страницы».

Бирсан добавил, что на некоторых страницах оформления заказа также использовался тот же «уязвимый процесс», что означало, что данные кредитной карты могли быть раскрыты с использованием того же метода. Но PayPal заявила, что не нашла «доказательств злоупотребления».

Бирсан сказал, что PayPal исправил ошибку в середине декабря, менее чем через месяц после того, как он представил свои выводы компании на HackerOne, платформе, где доброжелательные хакеры могут предупреждать компании о проблемах безопасности.

Оценить статью
(0)
Добавить комментарий
Получать ответы на почту
#81
.......
Получать ответы на почту