Egyptský hacker Yasser demonstroval, jak je možné získat kontrolu nad jakýmkoliv PayPal účtem pomocí tzv. CSRF útoku.
Útok samozřejmě není snadný a vyžaduje určité know how, a navíc je v dnešní době již zcela jistě záplatován. Každopádně útok se zaměřuje na tokeny, které se používají k autentizaci. Ty se Yasserovi podařilo obejít, a následně v napadeném účtu změnit legitimní email uvedený při registraci na svůj podvržený. Jako další krok hacker požádá o reset hesla, který přijde hackerovi do jeho emailu. Při žádosti o reset hesla je sice uživatel vyzván k zodpovězení bezpečností otázky, ale i tu se uvedenému hackerovi podařilo obejít. Výsledkem je tedy úplná kontrola nad libovolným účtem.
Dá se s tím něco dělat?
Jediné co můžete jako uživatelé při používání Paypalu udělat je to, že snížíte limit pro online platby u své platební karty do doby, než budete PayPal používat. A dále také to, že nebudete nechávat větší hotovost na PayPal účtu.
Zdroj: csirt.cz