CSS уязвимость на сайте PayPal позволяла
хакерам выдавать сторонние страницы за
настоящие страницы сервера.
Фишеры использовали ошибку для сбора
персональных данных пользователей,
рассказывает фирма Netcraft. Атакующие могли
сконструировать линк, при клике на который
обманутый пользователь попадал бы на
реальную страницу входа на PayPal, причем если
бы человек захотел проверить сертификат
безопасности страницы, то он, естественно,
бы получил совершенно реальный и
достоверный 256-битный сертификат,
принадлежащий сайту. Однако линк как раз и
содержал код, который выполнялся на
странице, которая возвращается
пользователю после логина - на этой стадии
хакеры и перенаправляли пользователя на
свой сайт и крали его данные или
запрашивали дополнительную информацию.
Сервер, который собирал данные, находился в
Корее, сообщают исследователи.
Комментариев от PayPal пока не последовало,
сколько данных было украдено пока так же
неизвестно.
