Scoperta vulnerabilità cross-site scripting sul sito di PayPal
Il ricercatore finlandese Harry Sintonen ha individuato sul sito di PayPal una vulnerabilità di tipo cross-site scripting che può essere sfruttata da malintenzionati per inserire contenuti malevoli per rubare le credenziali degli utenti
di Fabio Gozzo pubblicata il 20 Maggio 2008, alle 10:02 nel canale SicurezzaLo scorso fine settimana, il ricercatore finlandese Harry Sintonen ha individuato sul noto sito per i pagamenti online PayPal una vulnerabilità di tipo cross-site scripting che potrebbe essere sfruttata da malintenzionati per inserire nelle pagine del servizio contenuti malevoli al fine di rubare le credenziali degli utenti.
L'immagine mostra un messaggio "iniettato" sul sito di PayPal; fonte: Netcraft
Secondo Sintonen si tratta di una vulnerabilità piuttosto critica, poiché va ad ingannare il sistema di validazione sicura basato sui certificati Extended Validation SSL: la pagina manipolata attraverso l'inserimento di contenuto malevolo viene lo stesso classificata come sicura dal browser web (nella foto precedente si nota che la barra degli indirizzi è diventata di color verde), facendo asserire all'utente che il contenuto della stessa provenga dai server di PayPal e sia conseguentemente sicuro.
Al momento PayPal ha fatto sapere tramite un portavoce che la compagnia si è subito messa al lavoro per chiudere rapidamente il problema e che l'exploit non è stato sfruttato per veicolare nessun attacco reale. La compagnia ci tiene inoltre ad incoraggiare i propri utenti a controllare con maggiore frequenza lo stato del proprio account; qualora si riscontrino transazioni o acquisti non autorizzati, PayPal afferma che risarcirà i propri utenti del 100%.
11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoCiò non toglie che nelle transazioni elettroniche è saggio l'uso di carte prepagate dove si tiene solo il minimo indispensabile per effettuare i pagamenti necessari.
Non mi risulta però che ci siano state lamentele fino ad oggi per presunti abusi del sito o per transazioni non autorizzate.
Il rischio maggiore è al supermercato od al ristorante o comunque quando affidi la CC ad un altra persona o lasci in giro il bigliettino.
E' esattamente l'opposto sempre meglio una a saldo, è vero che possono dar fondo al plafond mensile ma con una semplice telefonata gratuita pui riavere i tuoi soldi mentre con una ricaricabile no.
Ciao
Sèvero
Non sono d'accordo, poi ci metti 6 mesi di 'indagini' ad avere indietro i soldi sulla carta, ma che prima tu DEVI anticipare. Invece con la ricaricabile la usi e anche se ci lasci su 10 euro che si comprano con quei soldi ? Poi non sanno quanto hai sulla ricaricabile cosi' provano 300 euro.. negato... 100 euro negato...50 euro negato e lasciano perdere...
Un onore per tutta la comunità amighista e affini.
Un Amighista come me lo conosce bene!
Blizkick per AmigaOS rulez (e sono pure fra i credits )!
Software per Amiga by Piru http://piru.dyndns.org/~p/sw.html
Certo che se hai la stessa leggerezza nello scrivere come nel "distribuire" i dati sensibili della carta di credito nei vari shop online, allora capisco perchè ti abbiano clonato la CC..
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".