פייפאל תיקנה פרצה חמורה שאפשרה להאקרים פוטנציאליים לגנוב נתוני משתמשים

חברת התשלומים האינטרנטיים פייפאל (PayPal) תיקנה פגיעה חמורה שיכולה היתה להיות מנוצלת על ידי האקרים בעלי כוונות זדון ולגרום למשתמשים למסור פרטים אישיים ופיננסיים שלהם.

הפרצה, שהתגלתה עלי ידי החוקר המצרי איבראהים חיג'אזי, נגרמה על ידי  באג Scripting באתר מאוחסן (XSS) באזור SecurePayments.PayPal.com. אזור זה מאפשר לבעלי חנויות מקוונות לאפשר לקונים שלהן לשלם עם כרטיס תשלום או חשבון PayPal שלהם, ומבטל את הצורך לשמור או לאחסן מידע רגיש עבור התשלום.

לדברי חיג'אזי, האקר יכול היה להקים אתר קניות, ולשנות את כפתור הקופה בדרך שתנצל את הפרצה, תשנה את התוכן של הדף SecurePayments של פייפאל ותביא להצגת דף פישינג שבו הקורבן יתבקש להזין מידע אישי ופיננסי.

הפרצה דווחה לפייפאל ב-19 ביוני ותיקון הפרצה אושר ב-25 באוגוסט. זו לא הפעם הראשונה שחיג'אזי מגלה פרצות חמורות. הוא זיהה בעבר פרצת אבטחה באתר יאהו שאפשרה לו להגיע לאחד משרתי החברה.