PayPal ликвидирует критическую уязвимость безопасности

В электронной платежной системе PayPal были ликвидированы обнаруженные специалистами Avnet Technologies уязвимости, одна из которых позволяла злоумышленнику получить доступ к финансовым отчетам и другим данным расширенных и бизнес-аккаунтов.

"Когда владелец такого аккаунта производит финансовую операцию, сведения о ней сохраняются в приложении для составления отчетов, – сообщает Нир Гольдшлагер (Nir Goldshlager), исследователь в области компьютерной безопасности из израильской компании Avnet Technologies, – и у злоумышленника появляется возможность просмотреть эти отчеты, получив полную месячную или суточную сводку о движении средств".

Данные, доступные для посторонних, получивших неавторизованный доступ к серверной части приложения, содержат полный адрес доставки заказа, идентификационный номер транзакции, дату и размер выплаченной суммы.

Другие ошибки, обнаруженные Гольдшлагером, представляли собой уязвимость сайтов paypal.com и business.paypal.com, чреватую опасностью атак кроссайтового скриптинга (XSS) и захватом аккаунтов пользователей, а также ошибку, которая может привести к подделке межсайтовых запросов (CSRF) и раскрытию данных об аккаунте. Эта уязвимость присутствовала в системе мгновенных уведомлений о платежах (Instant Payment Notification, IPN), используемой для оповещения о проведении транзакций.

"Используя метод CSRF, злоумышленник мог получить ту же информацию о пользователе, что и в случае первой уязвимости. Чтобы запустить механизм, предоставляющий доступ к системе IPN, он должен был добавить в ее настройки в профиле пользователя адрес своего веб-сайта, куда направлялись все сведения об осуществленной транзакции," – утверждает Гольдшлагер.

Исследователю также удалось обнаружить менее значительные ошибки, связанные с атаками CSRF. Руководство PayPal сообщает, что почти все проблемы, о которых стало известно еще в феврале, к настоящему моменту устранены.

"Эти разновидности уязвимостей весьма сложны, и мы очень рады тесному сотрудничеству с исследователями вопросов безопасности, а также партнерству с сообществом, которое помогло выявить эти недостатки," – заявил представитель PayPal.