Платежная система PayPal объявила о закрытии ряда критических уязвимостей в
системе безопасности, обнаруженных исследователем Avnet Technologies Ниром
Голдшлагером. Среди этих брешей была уязвимость, позволяющая атакующему получать
доступ к базе данных финансовых отчетов для фирм и владельцев привилегированных
аккаунтов и извлекать оттуда большие объемы информации.
Уязвимости были пропатчены после того, как Голдшлагер привлек к ним внимание
администрации. Самым опасным багом была проблема с установленными разрешениями
на сайте business.paypal.com, поскольку она могла привести к массированной
утечке данных. По словам эксперта, неавторизованный доступ к базе отчетов
позволял просматривать полную информацию о сделанных за месяц или день заказах,
адресах отгрузки, идентификаторах транзакций, а также их сумме и дате.
Среди прочих брешей были обнаруженные Голдшлагером уязвимости к межсайтовому
скриптингу (XSS) на сайтах paypal.com и business.paypal.com, позволявшие красть
идентификаторы сессий и взламывать аккаунты пользователей, а также уязвимость к
межсайтовой подделке запросов (CSFR), связанная с системой мгновенного
уведомления о транзакциях, с помощью которой нападающий мог получить доступ к
пользовательским данным, вставив в адрес рассылки указание на свой веб-сайт.
Помимо этого, исследователь указал PayPal еще на несколько менее значимых
уязвимостей к CSFR.