PayPal zaatakowany i pokonany

19 czerwca 2006 Michał Tomaszkiewicz luki i łaty

Zabezpieczenia oficjalnej strony systemu płatniczego PayPal złamane – dane klientów w niebezpieczeństwie.
Dzięki atakowi przez XSS włamywacze zdołali umieścić własne treści na oficjalnej, uwierzytelnianej certyfikatem SSL witrynie systemu PayPal. Phisherzy przekierowywali logujących się użytkowników na spreparowany przez siebie serwer.

Fałszywa witryna, uwierzytelniana prawdziwymi certyfikatami, wymagała zalogowania, a potem prosiła o wpisanie danych dotyczących numeru ubezpieczenia, numerów kart kredytowych i kodów PIN w celu pełnego odblokowania konta… Nie wiadomo, ile osób mogło paść ofiarą doskonale zaplanowanej i przeprowadzonej akcji.

Amanda Pires, rzecznik PayPal, zapewnia o szybkim uniemożliwieniu działania włamywaczom przez odpowiednią zmianę zawartości witryny systemu. Serwer, na który byli przekierowywani użytkownicy PayPal znajduje się w Korei.