Home / Vulnerabilities / Hackers πλουτίζουν από ευπάθεια ασφαλείας στο PayPal

Hackers πλουτίζουν από ευπάθεια ασφαλείας στο PayPal

Μια κρίσιμη ευπάθεια στην πλατφόρμα πληρωμών του PayPal ανακαλύφθηκε από τον ερευνητή ασφαλείας Ebrahim Hegazy. Πρόκειται για μια ευπάθεια Stored Cross Site Scripting (XSS), στο domain των ασφαλών πληρωμών του PayPal, την οποία ένας κυβερνοεγκληματίας θα μπορούσε να εκμεταλλευτεί προκειμένου να υποκλέψει credentials πρόσβασης σε λογαριασμούς ή ακόμα και στοιχεία των πιστωτικών καρτών χρηστών σε μη-κρυπτογραφημένη μορφή.

Μια κρίσιμη ευπάθεια στην πλατφόρμα πληρωμών του PayPal ανακαλύφθηκε από τον ερευνητή ασφαλείας Ebrahim Hegazy. Πρόκειται για μια ευπάθεια Stored Cross Site Scripting (XSS), στο domain των ασφαλών πληρωμών του PayPal, την οποία ένας κυβερνοεγκληματίας θα μπορούσε να εκμεταλλευτεί προκειμένου να υποκλέψει credentials πρόσβασης σε λογαριασμούς ή ακόμα και στοιχεία των πιστωτικών καρτών χρηστών σε μη-κρυπτογραφημένη μορφή.

Στην πράξη, το domain χρησιμοποιείται για την πραγματοποίηση ασφαλών online πληρωμών κατά την αγορά από ένα οποιοδήποτε διαδικτυακό κατάστημα. Επιτρέπει στους αγοραστές να πληρώσουν με τη χρήση καρτών πληρωμής ή λογαριασμών PayPal, εξαλείφοντας την ανάγκη αποθήκευσης ευαίσθητων πληροφοριών πληρωμής.

Ωστόσο, αν ένας επιτιθέμενος δημιουργήσει ένα ψεύτικο ηλεκτρονικό κατάστημα ή αποκτήσει παράνομα πρόσβαση σε ένα νόμιμο, είναι σε θέση να εξαπατήσει τους χρήστες ώστε να του “παραχωρήσουν” προσωπικές και οικονομικής φύσεως πληροφορίες.

Πως δουλεύει η επίθεση Stored XSS;

Ο Hegazy εξηγεί βήμα – βήμα στο blog του τη διαδικασία:

  • Ο επιτιθέμενος πρέπει να δημιουργήσει ένα δικό του ψεύτικο ηλεκτρονικό κατάστημα ή να αποκτήσει πρόσβαση σε ένα υπάρχον νόμιμο
  • Ακολούθως αντικαθιστά το κουμπί “CheckOut” (ολοκλήρωση αγορών) με ένα URL σχεδιασμένο να εκμεταλλευτεί την επάθεια XSS
  • Οποτεδήποτε οι χρήστες του PayPal επισκέπτονται το παραποιημένο ηλεκτρονικό κατάστημα και κάνουν κλικ στο κουμπί της ολοκλήρωσης των αγορών, για να πληρώσουν με τον PayPal λογαριασμό τους, ανακατευθύνονται στη σελίδα “Ασφαλούς Πληρωμής”
  • Στη σελίδα απεικονίζεται στην πραγματικότητα μια σελίδα phishing, όπου οι χρήστες – θύματα καλούνται να εισάγουν στοιχεία της πιστωτικής τους κάρτας
  • Έτσι, μόλις ο χρήστης πατήσει στο κουμπί “Υποβολή Πληρωμής” ή “Ολοκλήρωση αγοράς” τότε, τα χρήματά του από το λογαριασμό PayPal αντί για τον πωλητή θα καταλήξουν στο ψηφιακό πορτοφόλι του κυβερνοεγκληματία.

Επίδειξη βίντεο

Στο βίντεο που ακολουθεί μπορείτε να δείτε μια επίδειξη της επίθεσης, όπως την κατέγραψε ο ερευνητής ασφαλείας.

Ο Hegazy ανέφερε τη σημαντική αυτή ευπάθεια στους υπευθύνους του PayPal στις 19 Ιουνίου. Από το PayPal επιβεβαιώθηκε ότι πρόκειται για πρόβλημα, το οποίο διορθώθηκε στις 25 Αυγούστου, ήτοι 2 μήνες αργότερα.

Μάλιστα, πρόσφερε στον ερευνητή ασφαλείας το χρηματικό ποσό των 750 δολαρίων, ως ανταμοιβή για το εύρημά του.

Χρήσιμο
Ευανάγνωστο

User Rating: Be the first one !

About Germanos

Check Also

Σοβαρή ευπάθεια στα Juniper NetScreen firewall

Οι εταιρεία Juniper ανακοίνωσε ότι εντόπισε “μη εξουσιοδοτημένο κώδικα”  στο ScreenOS, το οποίο είναι το …