Администрация платежного сервиса PayРal пообещала выплатить $5000 исследователю из отдела ИБ компании Vulnerability Lab - Йонуту Чернике – за обнаруженную брешь в программном обеспечении, с помощью которой злоумышленники могли нанести серьезный ущерб клиентам платежного сервиса.
Черника сообщил в PayРal, что им была обнаружена опасная уязвимость, дающая возможность хакерам удалить чужую учетную запись. Эксперт поясняет, что в результате проведения нескольких тестов с web-приложением paypal.com, ему удалось выяснить, что владелец учетной записи при посещении определенной страницы может добавить новый адрес электронной почты без подтверждения даже в том случае, если он уже кем-то занят.
Осуществляя такую привязку к чужому адресу электронной почты и его последующее удаление, злоумышленник автоматически удаляет и оригинальную учетную запись другого пользователя.
Администрация платежного сервиса незамедлительно удалила брешь, однако, Чернику удивил сам факт того, что компания допустила такую серьезную ошибку в программном обеспечении и поставила под угрозу безопасность сервиса. "Простая в эксплуатации и опасная в плане последствий" - так охарактеризовал эксперт обнаруженную им ошибку. Он также отметил, что представители Paypal обязались выплатить ему вознаграждение в размере $5000.
