Tin tức và phân tích của tất cả các thiết bị di động

Lỗi này trong PayPal cho phép hacker thao túng các giao dịch

PayPal

Một lỗ hổng bảo mật cho phép tin tặc lấy cắp tài khoản PayPal người dùng. Cần phải có một nhấp chuột duy nhất, dường như vô hại để cho phép một khoản thanh toán không mong muốn.

Một nhà nghiên cứu bảo mật có tên mã h4x0r_dz đã phát hiện ra lỗ hổng trong dịch vụ chuyển tiền của PayPal.

Một nhấp chuột đơn giản bị chuyển hướng sai có thể kích hoạt thanh toán

Theo ông, lỗ hổng bảo mật có thể cho phép tin tặc sử dụng một kỹ thuật clickjacking (nhấp vào chuyển hướng) để chuyển hướng cảnh giác của người dùng. Điều này bao gồm việc hiển thị một phần tử giao diện có vẻ hợp pháp trong một trang web và khuyến khích nhấp chuột, chẳng hạn như dấu thập để đóng cửa sổ chẳng hạn. Việc chồng lên một nút dẫn đến một trang web độc hại trên một thành phần giao diện người dùng đáng tin cậy cũng là một cách để lừa người dùng.

Trong trường hợp được công khai bởi h4x0r_dz, nạn nhân có thể cho phép thanh toán bằng một cú nhấp chuột không may. Trên trang www.paypal.com/agreements/approve, hoạt động như một điểm cuối và nhằm đạt được các thỏa thuận thanh toán, chỉ có billingAgosystemToken mới được chấp nhận. Nhưng trên thực tế, một loại mã thông báo khác có thể được gửi, làm cho clickjacking.

PayPal vẫn chưa vá lỗ hổng bảo mật

Lỗ hổng bảo mật có thể bị khai thác đặc biệt khi bạn muốn thanh toán trên trang web của bên thứ ba chấp nhận PayPal làm phương tiện giao dịch và do đó quay trở lại nền tảng thông qua mã thông báo xác thực. Nguy hiểm cũng tồn tại nếu bạn đang sử dụng trình duyệt web mà bạn đã kết nối với tài khoản PayPal của mình.

Chuyên gia an ninh mạng giải thích rằng anh ta rất có thể khai thác lỗ hổng bảo mật này để chuyển tiền vào tài khoản PayPal của chính mình hoặc tạo tài khoản Netflix bằng cách tính phí nạn nhân của vụ hack.

Anh ta tuyên bố đã liên hệ với PayPal để cảnh báo họ về sự tồn tại của lỗ hổng này vào tháng 10 năm 2021, nhưng kể từ đó nó vẫn chưa được lấp đầy.

Về cùng một chủ đề:
Phần mềm gián điệp Predator đã lây nhiễm smartphones Android bằng cách khai thác một lỗ hổng 0-ngày

Nguồn : Tin tức về hacker