В PayPal ликвидирована уязвимость, позволявшая завладеть аккаунтом любого пользователя

Египетский исследователь Йассар Али уведомил администрацию платежной системы PayPal об обнаруженной им уязвимости. Уязвимость позволяет осуществлять атаки по принципу межсайтовой подделки запроса (CSRF). По сообщениям Али, все, что для этого требуется – убедить аутентифицированного системой PayPal пользователя перейти по вредоносной ссылке. При совершении пользователем такого перехода злоумышленник получает доступ к цифровым аутентификационным токенам PayPal, которые могут использоваться многократно. Таким образом, киберпреступники получают возможность «переоформить» на себя любую учетную запись PayPal, сменив ассоциированный с ней адрес электронной почты, пароль – и получив доступ ко всем средствам аккаунта.

Представители PayPal официально подтвердили наличие уязвимости, заверив, что она уже ликвидирована, и что случаев использования ее для атак зафиксировано не было. За свою находку Йассар Али получит вознаграждение в 10 тысяч долларов в рамках программы премирования пользователей за информацию об уязвимостях (Bug Bounty).