Ionut Cernica, seorang peneliti keamanan independen bekerja dengan Kerentanan Lab, telah mengidentifikasi cacat kritis-keparahan PayPal yang bisa saja dimanfaatkan oleh penjahat cyber untuk menghapus akun apapun dan membuat yang baru dengan username yang sama. Untungnya, prosesor pembayaran telah membahas masalah ini.
Kerentanan tersebut bisa saja dieksploitasi dari jarak jauh dan tidak memerlukan interaksi dari korban.
"Setelah menguji paypal.com aplikasi web saya menemukan bahwa jika Anda memiliki account AS dan halaman berikut dikunjungi, Anda dapat menambahkan email baru dari halaman tersebut. Masalahnya bahkan [meskipun] e-mail Anda mencoba untuk menambahkan ke account Anda sudah terdaftar dengan PayPal e-mail akan ditambahkan ke account Anda sebagai belum dikonfirmasi, "kata peneliti.
"Setelah Anda menambahkan email yang ada ke akun Anda, jika Anda pergi ke profil dan account Anda menghapus email belum dikonfirmasi, account asli akan dihapus juga," jelasnya dalam laporannya.
Setelah account ditargetkan telah dihapus, penyerang bisa mendaftarkan account baru dengan username dari account yang baru saja dihapus. Namun, akun baru harus ada keseimbangan dan akan dikonfirmasi.
Menurut Kerentanan Lab, masalah ini pertama kali dilaporkan ke PayPal pada akhir April, dan perusahaan mengaku telah membahas hal itu pada bulan Mei. Namun, Cernica mengatakan ia masih mampu mengeksploitasi nanti.
Para ahli percaya PayPal telah ditangani dengan benar itu kadang-kadang bulan ini.
Lihatlah video bukti-of-konsep di bawah ini yang menunjukkan bagaimana kerentanan bisa saja dimanfaatkan.
Perbarui. PayPal telah mengulurkan tangan untuk Softpedia dengan pernyataan berikut:
"Meskipun laporan terbaru dari kerentanan PayPal yang memungkinkan pengguna untuk menghapus akun apapun dan menggantinya dengan salah satu dari mereka sendiri, kami ingin mengkonfirmasi bahwa kami telah pernah menerima bug yang valid terkait dengan masalah itu di PayPal dan tidak mengeluarkan hadiah untuk itu.
Jika seorang peneliti mengidentifikasi bug berlaku di situs kami, kami mendorong mereka untuk bertanggung jawab melaporkannya ke Program Bounty Bug kami sehingga kami dapat hadiah dan mengakui orang-orang peneliti yang membantu menjaga PayPal tempat yang lebih aman bagi pelanggan kami. "
Sources : Softpedia
0komentar:
Post a Comment