Zranitelnost podle všeho zatím opravena nebyla.
PayPal lze poměrně jednoduše zneužít útočníky.
Ukrást peníze vám mohou přes podvodnou internetovou stránku, která ve skutečnosti ukrývá potvrzovací formulář k platbě přes PayPal.
I když tam oběť vidí něco jiného, po klepnutí na vybrané místo se platba potvrdí přes její účet.
Platební službu PayPal lze poměrně jednoduše zneužít hackery. Pokud jste ve svém prohlížeči do PayPalu přihlášeni, podvodníci vás mohou okrást jen prostřednictvím podvržené webové stránky a jediného vašeho kliku. Tématu se věnoval web The Hacker News.
Bezpečnostní výzkumník vystupující pod přezdívkou h4x0r_dz prezentoval konkrétní postup, jakým lze zranitelnost zneužít. V principu jde o útok typu clickjacking, kdy oběť vidí jednu internetovou stránku, ale „pod ní“ je načten jiný web, na který jsou směrována její kliknutí. Oběť je tedy v přesvědčení, že klikla na nějaké neškodné tlačítko, zatímco ve skutečnosti potvrdila platbu, stáhla malware nebo odsouhlasila něco jiného.
Stačí málo
Problémem PayPalu je, že umožňuje útočníkům příliš snadno sestavit platný požadavek na platbu. Za předpokladu, že oběť PayPal využívá a je do služby ve svém internetovém prohlížeči přihlášena, tak k uskutečnění útoku postačuje stisk jediného tlačítka pro potvrzení transakce.
Jak jsme zmínili, oficiální tlačítko PayPalu pro potvrzení platby přitom oběť nevidí. Útočníci ho mohou překrýt a zobrazit místo něj jakoukoli jinou výzvu, například oznámení o finanční výhře. Dvě rozdílné praktické demonstrace útoku zveřejnil výzkumník ve videích na platformě YouTube. Také celou realizaci útoku podrobně popsal na svém blogu.
Samotnou zranitelnost přitom výzkumník objevil ještě v říjnu a pokusil se ji nahlásit v rámci oficiálního Bug Bounty programu. Problém ale byl místo bezpečnostní zranitelnosti označen za druh podvodu a proto mu bylo odmítnuto vyplacení odměny za objevení chyby. Chyba přitom podle dostupných informací dodnes vyřešena nebyla a stále tedy představuje bezpečnostní riziko pro uživatele.
Nejjednodušší prevencí před podobnými útoky je jednoduché odhlašování se ze služby PayPal pokaždé, když dokončíte požadovanou transakci nebo provedete jinou činnost ve svém účtu.
Také je dobrým nápadem vypnutí funkce OneTouch v nastavení účtu, která odstraňuje potřebu provedení dalších kroků při ověřování plateb přes PayPal.
