业界动态

黑客可以获取任意PayPal(国际贸易支付工具)账号信息

研究人员展示了如何通过点一下鼠标就可以获取任意一个PayPal账户的资料

Yasser Ali是一位来自埃及的学生,Ali说自己之前是一名黑客,而现在是信息安全专业的学生。

近期披露了如何突破PayPal的安全防线,并且通过修改用户账户的密码来获得用户的信息。

在工作的时候,Ali是一个机械工程师,主要是识别并且报告安全漏洞。

根据Ali自己的描述,当他联系并告诉了PayPal公司自己掌握的的这个漏洞。

Ali随即获得了PayPAL公司的一万美金奖励--旨在表彰他发现并且报告了PayPAL在线支付的安全漏洞。

Ali把他的这个发现成果挂在了他的博客上,并且宣称黑客可能只需要通过点击一下他的鼠标就可以达到这个目的

但是首先需要黑客能够进入用户的账号并且欺骗用户去点击内嵌在PayPAL发给用户电子邮件中的链接

PayPal先前一直是通过利用认证口令和简单的密码来为用户提供安全服务的,这些密码是系统发送给用户的,并且用户每次点击都会去刷新。

然而,Ali发现在PayPal服务器错误的认为发给用户的口令是经过用户自身确认的,在这个过程之前每个口令都是可以被重新使用的。

攻击者截取用户的数据并且很容易的使用欺骗服务迫使用户添加一个电子邮件地址,或者修改他们的安全问题。

这种攻击通过修改账户的密码进而得到这个账户的所有信息。

很多安全专家已经告知了PayPAL他们的系统存在缺陷,而这种缺陷会威胁用户账号的安全。

最近很多针对PayPAL系统的攻击都是一个安全公司发起的,旨在于衡量取代PayPAL公司之前的双重身份验证的威胁的大小。

PayPAL是在2002年被一个竞拍网站eBay收购的,现在,eBay宣布将分拆支付服务PayPal。

(0)

本文由 V泡网 作者:Lefat 发表,转载请注明来源!

关键词:
领券么

热评文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注