Scoperta vulnerabilità cross-site scripting sul sito di PayPal
Il ricercatore finlandese Harry Sintonen ha individuato sul sito di PayPal una vulnerabilità di tipo cross-site scripting che può essere sfruttata da malintenzionati per inserire contenuti malevoli per rubare le credenziali degli utenti
di Fabio Gozzo pubblicata il 20 Maggio 2008, alle 10:02 nel canale SicurezzaLo scorso fine settimana, il ricercatore finlandese Harry Sintonen ha individuato sul noto sito per i pagamenti online PayPal una vulnerabilità di tipo cross-site scripting che potrebbe essere sfruttata da malintenzionati per inserire nelle pagine del servizio contenuti malevoli al fine di rubare le credenziali degli utenti.
L'immagine mostra un messaggio "iniettato" sul sito di PayPal; fonte: Netcraft
Secondo Sintonen si tratta di una vulnerabilità piuttosto critica, poiché va ad ingannare il sistema di validazione sicura basato sui certificati Extended Validation SSL: la pagina manipolata attraverso l'inserimento di contenuto malevolo viene lo stesso classificata come sicura dal browser web (nella foto precedente si nota che la barra degli indirizzi è diventata di color verde), facendo asserire all'utente che il contenuto della stessa provenga dai server di PayPal e sia conseguentemente sicuro.
Al momento PayPal ha fatto sapere tramite un portavoce che la compagnia si è subito messa al lavoro per chiudere rapidamente il problema e che l'exploit non è stato sfruttato per veicolare nessun attacco reale. La compagnia ci tiene inoltre ad incoraggiare i propri utenti a controllare con maggiore frequenza lo stato del proprio account; qualora si riscontrino transazioni o acquisti non autorizzati, PayPal afferma che risarcirà i propri utenti del 100%.
DJI Osmo Mobile 8: lo stabilizzatore per smartphone con tracking multiplo e asta telescopica
Recensione Pura 80 Pro: HUAWEI torna a stupire con foto spettacolari e ricarica superveloce
Opera Neon: il browser AI agentico di nuova generazione
1.200 CV e drift a 213 km/h: la supercar cinese che ha segnato il Guinness World Record
Shenzhou-21: esperimenti sui topi in orbita e installato un forno ventilato per cucinare sulla stazione spaziale cinese
Cloudera punta su cloud privato e intelligenza artificiale (che serve anche a guarire le malattie rare)
Il mistero del Ryzen 7 9700X3D: prezzo più basso e frequenze superiori al Ryzen 7 9800X3D?
Posticipato il rientro dell'equipaggio cinese di Shenzhou-20 a causa di un detrito spaziale che ha colpito la navicella
Propaganda russa e hactivism fra le principali minacce cyber per l'Italia. Il report di Clusit sui primo semestre 2025 
Superluna del Castoro: stasera il satellite si mostra nella sua forma più grande e luminosa del 2025
NVIDIA regala una GeForce RTX 5090 Founders Edition a un utente che aveva danneggiato la propria
Snowflake punta su Intelligence, l'IA per capire il perché dei dati
Volkswagen realizzerà i propri chip per la guida autonoma in Cina
Formula E GEN4 svelata: 600 kW di potenza (oltre 815 cavalli) e trazione integrale attiva
PC Desktop HP Victus con RTX 4060 e Ryzen 5 a soli 699€, ideale per gaming e creatività
Fastnet, il 'mega-cavo' di AWS che può trasmettere 12 milioni di film HD contemporaneamente
Offerte Amazon da non perdere: GeForce RTX 5060 a 329€, sconti folli su CPU e componenti per PC gaming
11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoCiò non toglie che nelle transazioni elettroniche è saggio l'uso di carte prepagate dove si tiene solo il minimo indispensabile per effettuare i pagamenti necessari.
Non mi risulta però che ci siano state lamentele fino ad oggi per presunti abusi del sito o per transazioni non autorizzate.
Il rischio maggiore è al supermercato od al ristorante o comunque quando affidi la CC ad un altra persona o lasci in giro il bigliettino.
E' esattamente l'opposto sempre meglio una a saldo, è vero che possono dar fondo al plafond mensile ma con una semplice telefonata gratuita pui riavere i tuoi soldi mentre con una ricaricabile no.
Ciao
Sèvero
Non sono d'accordo, poi ci metti 6 mesi di 'indagini' ad avere indietro i soldi sulla carta, ma che prima tu DEVI anticipare. Invece con la ricaricabile la usi e anche se ci lasci su 10 euro che si comprano con quei soldi ? Poi non sanno quanto hai sulla ricaricabile cosi' provano 300 euro.. negato... 100 euro negato...50 euro negato e lasciano perdere...
Un onore per tutta la comunità amighista e affini.
Un Amighista come me lo conosce bene!
Blizkick per AmigaOS rulez (e sono pure fra i credits
Software per Amiga by Piru http://piru.dyndns.org/~p/sw.html
Certo che se hai la stessa leggerezza nello scrivere come nel "distribuire" i dati sensibili della carta di credito nei vari shop online, allora capisco perchè ti abbiano clonato la CC..
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".