17-летний хакер нашел «дыру» в PayPal и описал ее в блоге, отказавшись от награды

17-летний житель Мельбурна Джошуа Роджерс еще 5 июня обнаружил уязвимость в системе двухфакторной авторизации в PayPal и сообщил о ней в компании. PayPal поблагодарила за бдительность, но уязвимость так и не исправила. Так что он сделал то, что бы сделало большинство подростков на его месте: описал уязвимость в своем блоге.

Согласно его схеме, чтобы атака прошла успешно, хакеру нужно знать логин пользователя в eBay и PayPal, впрочем, вирусы, собирающие такую информацию с зараженных компьютеров, существуют уже давно. Уязвимость связана со страницей eBay, которая позволяет привязывать аккаунт eBay к PayPal (который принадлежит eBay).

Привязка аккаунта создает cookie, который PayPal-приложение воспринимает как подтверждение того, что пользователь залогинился, несмотря на то, что 6-значный код еще не введен. Видео о том, как работает уязвимость, Роджерс также опубликовал на YouTube:

Такой шаг — публичная публикация информации о дыре в безопасности — лишила Джошуа награды в примерно $3000. Вознаграждение получают специалисты по безопасности, которые конфиденциально сообщают компании об уязвимостях, пишет PCWorld. «Меня не волнуют деньги, деньги — это еще не все в жизни», — написал он в комментарии изданию.

В компании PayPal отметили, что о проблеме знают и работают над ее устранением, но она затронула небольшое количество пользователей: «Ситуация никак не затронула пользователей, которые не применяют в качестве дополнительной защиты ключ безопасности PayPal (физическая карта или код по SMS). Если у вас установлена двухэтапная авторизация, то ваш аккаунт будет работать в прежнем режиме».

Напомним, недавно антивирусная компания ESET обнаружила троян для Android, шифрующий данные на смартфоне и вымогающий деньги у русскоязычных пользователей. После установки на смартфон, вирус сканирует содержимое SD-карты и шифрует все найденные видео, фото и документы. Затем на экран устройства выводится сообщение на русском языке, которое обещает разблокировать устройство за 260 грн.