Платежная система PayPal выплатила 3000 долларов за информацию, которая позволила устранить уязвимость работы с базой данных PayPal. Устраненная уязвимость позволяла проводить в отношении PayPal атаку типа SQL-инъекция.
Получателем вознаграждения стала компания Vulnerability Laboratory, которая впервые сообщила о критически опасном баге в PayPal еще в августе прошлого года, сейчас в этой компании говорят, что полностью проблема с базой данных была устранена в конце декабря, в свою очередь PayPal отмечает, что компания впервые выплачивала вознаграждение за помощь в поиске уязвимостей, связанных непосредственно с сайтом, а не с платежной платформой.
Компании говорят, что устраненная уязвимость позволяла атакующему выявить в коде emal пользователя, а также помогала выявить фильтры безопасности PayPal, при помощи которых можно было скомпрометировать бэкэнд-серверы и получить важную информацию о платежных операциях. Уязвимость присутствовала как в самом сайте, так и в интерфейсе ecommerce-системы PayPal. В ряде случаев она позволяла получить привилегии низкоуровневого приложения на серверах PayPal.
Источник: CyberSecurity
|
