Уязвимость платежной системы

В платежной системе PayРal была обнаружена очень серьезная уязвимость. Администрацией этого платежного сервиса PayРal одному из исследователей Йонуту Чернике, работающему в отделе ИБ компании Vulnerability Lab, было обещано пять тысяч долларов за то, что он смог обнаружить брешь в программном обеспечении. Именно из-за этой уязвимости злоумышленники могли нанести серьезный вред всем клиентам платежного сервиса.

  Черника дал знать компании PayРal, что он смог обнаружить очень опасную уязвимость, которая может дать хакерам возможность удалять различные учетные записи. Эксперт также пояснил, что им были проведены несколько тестов с web-приложением paypal.com. В результате выяснилось, что любой владелец учетной записи во время посещения одной определенной страницы может добавить новый адрес электронной почты, причем не подтверждая его, даже в той ситуации, когда он уже кем-то занят. Благодаря такой привязке к чужому адресу электронной почты, а также при последующем удалении злоумышленник может автоматически удалить даже оригинальную учетную запись абсолютно другого пользователя.

  Администрация платежной системы постаралась сразу же удалить эту брешь в системе. Черника был удивлен тем фактом, что компания сразу смогла допустить такую серьезную ошибку при создании программного обеспечения системы, который ставил под угрозу всю безопасность сервиса. Эксперт обнаруженную им ошибку охарактеризовал, как очень простую в эксплуатации, но очень серьезную в плане последствий. Также эксперт сообщил, что представители платежной системы Paypal обязались ему выплатить некоторое вознаграждение в размере пяти тысяч долларов.