Platbní služba PayPal obsahuje bezpečnostní chybu, která útočníkům umožňuje získat finanční prostředky třetích osob. Útočníci k tomu mohou využít podvodnou stránku, která však obsahuje potvrzovací formulář k platbě realizované přes PayPal. Podle expertů přitom stačí být pouze přihlášený ke službě PayPal ve svém prohlížeči. K tomu aby dotčená osoba přišla o peníze pak už stačí jediný klik. O problému blíže informoval web The Hacker News.

Stará podvodná technika

I když oběť internetového podvodu na nastrčené stránce vidí něco zcela jiného, po kliknutí na vybrané místo se platba potvrdí přes její paypalový účet. Výzkumník hackerských praktik, který vystupuje pod přezdívkou h4x0r_dz dokonce odprezentoval celý postup, jak lze tuto nedokonalost platební služby zneužít.

Celý podvod je založen na technice zvané clickjacking. Jedná se o podvodný druh webové stánky, za kterým se však ukrývá jiný, očím uživatele skrytý web. Právě na něj jsou přesměrována kliknutí uživatele a ten tak v podstatě ani neví na co klikl.

Slabina nebyla odstraněna

Přestože je tato technika známá už léta, problém PayPal je především v tom, že je příliš snadné sestavit strojový požadavek na jeho platbu. Samotnou zranitelnost přitom výzkumník objevil ještě v říjnu a pokusil se ji nahlásit v rámci oficiálního Bug Bounty programu. Problém ale byl místo bezpečnostní zranitelnosti označen za druh podvodu a proto mu bylo odmítnuto vyplacení odměny za objevení chyby. Chyba přitom podle dostupných informací dodnes vyřešena nebyla a stále tedy představuje bezpečnostní riziko pro uživatele. Dále čtěte: (Vědcům se podařil průlom v oblasti energetiky. Počítač napájeli šest měsíců pouze řasami).

Zdroj: The Hacker News, Securityaffairs.