17-летний хакер нашел "дыру" в PayPal и описал ее в блоге, отказавшись от награды

17-летний житель Мельбурна Джошуа Роджерс еще 5 июня обнаружил уязвимость в системе двухфакторной авторизации в PayPal и сообщил о ней в компании. PayPal поблагодарила за бдительность, но уязвимость так и не исправила. Так что он сделал то, что бы сделало большинство подростков на его месте: описал уязвимость в своем блоге.

Согласно его схеме, чтобы атака прошла успешно, хакеру нужно знать логин пользователя в eBay и PayPal, впрочем, вирусы, собирающие такую информацию с зараженных компьютеров, существуют уже давно. Уязвимость связана со страницей eBay, которая позволяет привязывать аккаунт eBay к PayPal (который принадлежит eBay).

Привязка аккаунта создает cookie, который PayPal-приложение воспринимает как подтверждение того, что пользователь залогинился, несмотря на то, что 6-значный код еще не введет. Видео о том, как работает уязвимость, Роджерс также опубликовал на YouTube:

Такой шаг — публичная публикация информации о дыре в безопасности — лишила Джошуа награды в примерно $3000. Вознаграждение получают специалисты по безопасности, которые конфиденциально сообщают компании об уязвимостях, пишет PCWorld. «Меня не волнуют деньги, деньги — это еще не все в жизни», — написал он в комментарии изданию.

В компании PayPal отметили, что о проблеме знают и работают над ее устранением, но она затронула небольшое количество пользователей: «Ситуация никак не затронула пользователей, которые не применяют в качестве дополнительной защиты ключ безопасности PayPal (физическая карта или код по SMS). Если у вас установлена двухэтапная авторизация, то ваш аккаунт будет работать в прежнем режиме».

Напомним, недавно антивирусная компания ESET обнаружила троян для Android, шифрующий данные на смартфоне и вымогающий деньги у русскоязычных пользователей. После установки на смартфон, вирус сканирует содержимое SD-карты и шифрует все найденные видео, фото и документы. Затем на экран устройства выводится сообщение на русском языке, которое обещает разблокировать устройство за 260 грн.

Опубликовано на сайте: 08.08.2014

Автор: Ольга Карпенко

Источник: http://ain.ua/

Забавное видео

Этот 5-ти летний малыш удивит вас своими баскетбольными навыками!


Нужны деньги до зарплаты?

более 30 сервисов

Кредиты онлайн на карту за 15 минут

от 0,01%

ставка

до 180 дней

макс срок

до 20 000 грн.

макс сумма