Подросток нашел брешь в электронной платежной системе
В США 17-летний житель Мельбурна Джошуа Роджерс обнаружил уязвимость в системе двухфакторной авторизации в PayPal и сообщил о ней в компании.
Компания же поблагодарила за бдительность, но уязвимость так и не исправила. Так что он сделал то, что бы сделало большинство подростков на его месте: описал уязвимость в своем блоге, передает Ain.
Читайте:
Американец придумал, как за 30 секунд зарядить телефон
Согласно его схеме, чтобы атака прошла успешно, хакеру нужно знать логин пользователя в eBay и PayPal, впрочем, вирусы, собирающие такую информацию с зараженных компьютеров, существуют уже давно. Уязвимость связана со страницей eBay, которая позволяет привязывать аккаунт eBay к PayPal (который принадлежит eBay). Привязка аккаунта создает cookie, который PayPal-приложение воспринимает как подтверждение того, что пользователь залогинился, несмотря на то, что 6-значный код еще не введет. Видео о том, как работает уязвимость, Роджерс также опубликовал на YouTube:
Такой шаг — публичная публикация информации о дыре в безопасности — лишила Джошуа награды в примерно $3000. Вознаграждение получают специалисты по безопасности, которые конфиденциально сообщают компании об уязвимостях, пишет PCWorld. "Меня не волнуют деньги, деньги — это еще не все в жизни", — рассказал альтруистичный подросток.
PayPal — оператор электронных денежных средств. Позволяет клиентам оплачивать счета и покупки, отправлять и принимать денежные переводы.