Bitcoin

Ostatnia witryna exploit w systemie paypal pokazuje zalety zdecentralizowanych rozwiązań płatniczych

Bitcoin Ostatnia witryna exploit w systemie paypal pokazuje zalety zdecentralizowanych rozwiązań płatniczych

Week 10 (Październik 2018).

Anonim

Płatności online stają się coraz ważniejsze każdego dnia, ale to nie oznacza, że ​​platformy, których używamy, zwiększają poziom bezpieczeństwa. PayPal, jeden z największych na świecie procesorów płatności internetowych, padł ofiarą błędu w systemie kont, umożliwiając użytkownikom wysyłanie szkodliwego kodu za pośrednictwem wiadomości e-mail z potwierdzeniem. Na szczęście osoba odkrywająca ten problem zgłosiła exploit do serwisu PayPal za pośrednictwem programu nagród błędów, zamiast używać go w złych intencjach.

Przeczytaj również: Cashila ogłasza wygodną opcję kupowania i sprzedawania w Ethereum

Wysyłanie szkodliwego kodu za pomocą wiadomości e-mail potwierdzających PayPal

Większe platformy przetwarzania płatności internetowych mają większe szanse na to, że prędzej czy później będą narażone na jakąś formę exploita. Na szczęście dla PayPal niemiecki badacz ds. Bezpieczeństwa, Benjamin Kunz Mejri, odkrył lukę, którą natychmiast zgłosił firmie. Gdyby ktoś dokonał tego odkrycia, firma byłaby znacznie gorsza.

Sposób działania tego exploita polega na wysyłaniu e-maili ze złośliwym kodem za pośrednictwem istniejącego konta PayPal. Wysłanie e-maila do innego użytkownika systemu PayPal wymaga od użytkowników podania imienia i nazwiska - zazwyczaj imienia i nazwiska - ale okazało się, że pole wprowadzania może być wypełnione losowym kodem, w tym złośliwymi skryptami.

To nie było tak proste, jak się wydaje, ponieważ Mejri musiał ominąć filtr bezpieczeństwa, co można zobaczyć na filmie poniżej tego artykułu. Po zakończeniu tego kroku użył funkcji Paypal, aby udostępnić konto innym użytkownikom, dodając wiele adresów e-mail. Funkcję tę można porównać do wielotablicowego portfela Bitcoin, choć z zupełnie innymi środkami ostrożności.

Wszystkie adresy e-mail na liście, które udostępniają to konkretne konto PayPal, otrzymają wiadomość e-mail z potwierdzeniem, aby zaakceptować to zaproszenie. Gdy użytkownik otworzy tę wiadomość e-mail, złośliwy kod zostanie wykonany w tle, pochodzący z serwerów PayPal. Większość osób zgaduje, że ta metoda sprawia, że ​​atakowanie phishingiem jest raczej łatwe w stosunku do innych użytkowników, przy jednoczesnym zapewnieniu, że nadawca e-mail jest PayPal, a nie podszywanie się pod nagłówek.

Inne exploity obejmowały przechwytywanie sesji, a nawet przekierowywanie użytkownika do różnych stron internetowych lub witryn. Na szczęście dla wszystkich użytkowników systemu PayPal exploit został załatany na początku marca 2016 r., A Mejri otrzymał 1 000 USD za zgłoszenie tej luki bezpieczeństwa. Hakerzy z białego kapelusza mają ogromną wartość dla dostawców usług finansowych, dlatego firmy takie jak PayPal mają program bounty.

Bitcoin jest odpowiedzią na scentralizowane usługi

Chociaż Paypal jest jednym z najpopularniejszych procesorów płatności internetowych na świecie, ich cały model biznesowy jest tak scentralizowany, jak tylko może. Nie tylko dokonują cięcia w każdej transakcji - i dość dużej - ale także utrzymują fundusze klientów, gdy deponują i wypłacają pieniądze.Opieranie się na usługach z centralnym punktem awarii naraża fundusze konsumentów.

Bitcoin, z drugiej strony, jest w pełni zdecentralizowany, chociaż istnieją scentralizowane platformy również w tym ekosystemie. Kontrola finansowa jest czymś, do czego niewielu konsumentów się przyzwyczaiło, a nie poleganie na scentralizowanych usługach wymaga poważnej zmiany umysłu. Jednak dla tych, którzy chcą wziąć sprawy finansowe w swoje ręce, Bitcoin jest realną opcją.

Jakie są Twoje przemyślenia na temat niedawnej luki w systemie PayPal? Daj nam znać w komentarzach poniżej!

Źródło: Tweakers (holenderski)

Zdjęcie dzięki uprzejmości PayPal, Shutterstock

Popularne Wiadomości