Независимый специалист по безопасности Йонуц Черника (Ionut Cernica), сотрудничающий с компанией Vulnerability Lab, раскрыл информацию о серьезной уязвимости на сайте платежной системы Paypal. До недавнего времени любой желающий мог удалить чужой аккаунт Paypal и создать новый под тем же именем, говорит Йонуц, хотя компания Paypal опровергает эту информацию (текст опровержения см. ниже).
«После тестирования веб-приложения paypal.com я обнаружил, что если у вас американский аккаунт и вы посетите эту страницу, то можете добавить оттуда себе новый адрес электронной почты. Проблема в том, что даже если этот адрес уже используется с другим аккаунтом, он добавляется к вам без подтверждения», — пишет Йонуц.
После привязки чужой электронной почты к своему аккаунту, если зайти в него и удалить этот неподтвержденный адрес, то оригинальный аккаунт тоже удаляется.
К счастью, эта дыра сейчас закрыта, но удивителен сам факт наличия такой возможности в прошлом.
Хакер якобы сообщил в Papal об уязвимости в апреле и компания пообещала выплатить ему вознаграждение $5000.
Видеофайл в формате flv, 17 МБ
UPD 26.08.2013 г. Компания Paypal опровергает данную информацию: «В связи с недавними публикациями об уязвимости системы Paypal, связанной с возможностью добавлять адрес электронной почты к чужой учетной записи, мы хотим заявить о том, что никогда не получали никаких достоверных сведений о подобных ошибках, связанных с использованием веб-сайта Paypal.com, и не предлагали соответствующее вознаграждение. В компании Paypal действует программа финансового вознаграждения Bug Bounty, в рамках которой независимые исследователи могут сообщить нам об обнаруженных на веб-сайте ошибках. Данная программа разработана для поощрения специалистов, помогающих укреплять безопасность системы Paypal в интересах наших пользователей», — сообщил редакции «Хакер» представитель компании.
