17-летний хакер обнаружил «слабое место» PayPal

17-летний житель Мельбурна Джошуа Роджерс еще 5 июня обнаружил уязвимость в системе двухфакторной авторизации в PayPal и сообщил о ней в компании. PayPal поблагодарила за бдительность, но уязвимость так и не исправила. Так что он сделал то, что бы сделало большинство подростков на его месте: описал уязвимость в своем блоге, сообщает "AIN".

Согласно его схеме, чтобы атака прошла успешно, хакеру нужно знать логин пользователя в eBay и PayPal, впрочем, вирусы, собирающие такую информацию с зараженных компьютеров, существуют уже давно. Уязвимость связана со страницей eBay, которая позволяет привязывать аккаунт eBay к PayPal (который принадлежит eBay).

Привязка аккаунта создает cookie, который PayPal-приложение воспринимает как подтверждение того, что пользователь залогинился, несмотря на то, что 6-значный код еще не введет. Видео о том, как работает уязвимость, Роджерс также опубликовал на YouTube:

Такой шаг — публичная публикация информации о дыре в безопасности — лишила Джошуа награды в примерно $3000. Вознаграждение получают специалисты по безопасности, которые конфиденциально сообщают компании об уязвимостях, пишет PCWorld. "Меня не волнуют деньги, деньги — это еще не все в жизни", — написал он в комментарии изданию.

Напомним, недавно антивирусная компания ESET обнаружила троян для Android, шифрующий данные на смартфоне и вымогающий деньги у русскоязычных пользователей. После установки на смартфон, вирус сканирует содержимое SD-карты и шифрует все найденные видео, фото и документы. Затем на экран устройства выводится сообщение на русском языке, которое обещает разблокировать устройство за 260 грн.