PayPalНапомним, что обнаруженные Голдшлагером уязвимости позволяли злоумышленникам получать доступ к базам данных финансовых отчетов фирм и привилегированных аккаунтов, после чего извлечение из них больших объемов информации становилось, что называется, «делом техники».

Наиболее опасной «дырой» в системе безопасности PayPal’а оказалась проблема с разрешениями, установленными на сайте business.paypal.com, которая могла привести к массированной утечке данных. Как заявил Голдшлагер, несанкционированный доступ к базе отчетов позволял атакующему получать доступ к полной информации о заказах за месяц или день, об адресах покупателей, идентификаторах транзакций, их сумме, дате и т.п.

Также Голдшлагер обнаружил уязвимости и в межсайтовом скриптинге (XSS) на сайтах paypal.com и business.paypal.com. По мнению эксперта, эти бреши позволяли злоумышленникам воровать идентификаторы сессий и взламывать аккаунты пользователей. А обнаруженная уязвимость в системе мгновенного уведомления о транзакциях (CSFR) позволяла атакующему вставлять в адрес рассылки перенаправление на свой веб-сайт.

Помимо этого, исследователь указал PayPal’у еще на несколько менее значимых уязвимостей к CSFR, передает журнал Xakep.

(Всего прочитано 10 раз, из них 1 посещений сегодня)
0