Исследователь с ником «h4x0r_dz» обнаружил уязвимость, завязанную на кликджекинге — когда жертву обманом заставляют кликнуть на один из якобы безобидных элементов веб-страницы. Это может быть специальная кнопка или форма, но результат один — либо пользователя перенаправят на вредоносный сайт, либо загрузят зловред на его ПК.
По словам «h4x0r_dz», проблема присутствовала на странице, размещённой по адресу www.paypal.com/agreements/approve.
«Проблемная страница предназначена для соглашения о выставлении счетов, поэтому должна принимать только billingAgreementToken. Тем не менее в процессе тестирования я обнаружил, что мы можем подсунуть токены другого типа и привести к краже денег со счетов пользователей», — продолжает «h4x0r_dz».
Другими словами, киберпреступники могли разместить «iframe», который бы вынуждал жертву направить свои средства на его аккаунт. Для эксплуатации требовался всего один клик. Ещё хуже, что этот вектор работал и в случае с онлайн-сервисами, позволяющими интегрироваться с PayPal для ведения кассы.
«В этом случае я мог заставить пользователя добавить средства на мой счёт и, например, заплатить за мой аккаунт Netflix», — подытоживает «h4x0r_dz».
Не баг, а фича
По словам «h4x0r_dz», проблема присутствовала на странице, размещённой по адресу www.paypal.com/agreements/approve.
«Проблемная страница предназначена для соглашения о выставлении счетов, поэтому должна принимать только billingAgreementToken. Тем не менее в процессе тестирования я обнаружил, что мы можем подсунуть токены другого типа и привести к краже денег со счетов пользователей», — продолжает «h4x0r_dz».
Другими словами, киберпреступники могли разместить «iframe», который бы вынуждал жертву направить свои средства на его аккаунт. Для эксплуатации требовался всего один клик. Ещё хуже, что этот вектор работал и в случае с онлайн-сервисами, позволяющими интегрироваться с PayPal для ведения кассы.
«В этом случае я мог заставить пользователя добавить средства на мой счёт и, например, заплатить за мой аккаунт Netflix», — подытоживает «h4x0r_dz».
Не баг, а фича