Αιγύπτιος ερευνητής σε θέματα ασφαλείας, βρήκε τρόπο να «σπάσει» όλους τους λογαριασμούς στο PayPal με ένα κλικ.
O Αιγύπτιος μάλιστα ανέβασε video στο YouTube στο οποίο αποδεικνύει του λόγου το αληθές. Ο Γιάσερ Άλι, όπως είναι το όνομα του –παρ’ ολίγο– χάκερ έσπασε τους ελέγχους ασφαλείας του PayPal μέσω CSRF – Cross-site request forgery. Ελέγχοντας τα data προς το PayPal μέσω POST request, κατάφερε να πάρει πιστοποιητικό με ισχύ για κάθε χρήστη!
Επίσης, ο Αλί διαπίστωσε ότι οι ερωτήσεις ασφαλείας του PayPal δεν απαιτούν password authentication. Με το πιστοποιητικό ασφαλείας ανά χείρας ήταν σε θέση να έχει πλήρη έλεγχο όποιου λογαριασμού ήθελε, τροποποιώντας τις απαντήσεις μέσω ενός Python script που «έτρεχε» στον υπολογιστή του.
Πριν τρέξετε να κλείσετε τον λογαριασμό σας στο PayPal να σας πούμε ότι ο Αλί ενημέρωσε για την τρύπα ασφαλείας τους τεχνικούς στο PayPal, ώστε να διορθώσουν το σύστημα.
To PayPal έδωσε ως αμοιβή στον Αλί $10.000.