В PayPal, который принадлежит eBay, была обнаружена уязвимость, которая позволила злоумышленникам захватить контроль над интернет-магазинами через портал Manager, который используется для управления PayFlow, системой для получения оплаты от клиентов. Брешь была обнаружена исследователем по безопасности компании Securatary Марком Литчфилдом (Mark Litchfield), который и разместил подробное объяснение метода взлома .
По словам Личфилда, он уведомил PayPal о возникновении ошибки еще 10 мая, а днем позже она была исправлена.
Авторизовавшись, указывает Личфилд, злоумышленник легко мог получить доступ к важной информации администратора вместе с личными данными клиентов. Это также позволяло ему использовать виртуальный терминал для того, чтобы направить деньги жертвы на свой собственный кошелек.
После того, как Личфилд завершил свое исследование, он отправил его окончательную версию в PayPal, после чего компания устранила брешь за несколько часов. В свою очередь, представитель PayPal подтвердил изданию The Register, что пока нет доказательств компрометации или хищения данных клиентов компании.
Источник: SecurityLab
|