Данные 156 миллионов пользователей оператора электронных денежных средств PayPal могли быть скомпрометированными из-за наличия критических уязвимостей в программном обеспечении этого подразделения компании eBay, сообщает издание The Hacker News.
Эксперт из Египта Яссер Али (Yasser H. Ali) обнаружил три критические бреши в web-ресурсе PayPal, среди которых CSFR (межсайтовая подделка запроса), ошибка аутентификации и восстановление контрольного вопроса. Эти уязвимости могли быть эксплуатированы кибепреступниками для быстрого осуществления целевых атак.
Яссер Али разместил на YouTube видео, в котором демонстрирует эксплуатацию каждой из трех уязвимостей. При этом очевидно, что применяется только один эксплоит. По словам эксперта, почтовый адрес или имя пользователя можно многократно подвергать атакам с использованием CSRF и ошибки аутентификации. Это означает, что, применяя любой из маркеров доступа, злоумышленник способен выполнять действия от имени любого зарегистрированного пользователя.
Специалисты из PayPal исправили выявленные Яссером Али бреши. Ранее эксперт обнаружил похожую уязвимость на сайте eBay, которая позволяла злоумышленникам с минимальными тратами времени скомпрометировать любую учетную запись на этом web-ресурсе.
Источник: SecurityLab.ru