Scoperta vulnerabilità cross-site scripting sul sito di PayPal

Scoperta vulnerabilità cross-site scripting sul sito di PayPal

Il ricercatore finlandese Harry Sintonen ha individuato sul sito di PayPal una vulnerabilità di tipo cross-site scripting che può essere sfruttata da malintenzionati per inserire contenuti malevoli per rubare le credenziali degli utenti

di pubblicata il , alle 10:02 nel canale Sicurezza
 

Lo scorso fine settimana, il ricercatore finlandese Harry Sintonen ha individuato sul noto sito per i pagamenti online PayPal una vulnerabilità di tipo cross-site scripting che potrebbe essere sfruttata da malintenzionati per inserire nelle pagine del servizio contenuti malevoli al fine di rubare le credenziali degli utenti.

L'immagine mostra un messaggio "iniettato" sul sito di PayPal; fonte: Netcraft

Secondo Sintonen si tratta di una vulnerabilità piuttosto critica, poiché va ad ingannare il sistema di validazione sicura basato sui certificati Extended Validation SSL: la pagina manipolata attraverso l'inserimento di contenuto malevolo viene lo stesso classificata come sicura dal browser web (nella foto precedente si nota che la barra degli indirizzi è diventata di color verde), facendo asserire all'utente che il contenuto della stessa provenga dai server di PayPal e sia conseguentemente sicuro.

Al momento PayPal ha fatto sapere tramite un portavoce che la compagnia si è subito messa al lavoro per chiudere rapidamente il problema e che l'exploit non è stato sfruttato per veicolare nessun attacco reale. La compagnia ci tiene inoltre ad incoraggiare i propri utenti a controllare con maggiore frequenza lo stato del proprio account; qualora si riscontrino transazioni o acquisti non autorizzati, PayPal afferma che risarcirà i propri utenti del 100%.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

11 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
T3mp20 Maggio 2008, 10:19 #1
tutto il mondo e' paese
Lud von Pipper20 Maggio 2008, 10:27 #2
Nelle transazioni on line esiste sempre un certo rischio, compreso Paypal che ho sempre considerato uno dei sistemi più stabili.
Ciò non toglie che nelle transazioni elettroniche è saggio l'uso di carte prepagate dove si tiene solo il minimo indispensabile per effettuare i pagamenti necessari.
Non mi risulta però che ci siano state lamentele fino ad oggi per presunti abusi del sito o per transazioni non autorizzate.
NeatoEurope20 Maggio 2008, 12:09 #3
Originariamente inviato da: Lud von Pipper
Nelle transazioni on line esiste sempre un certo rischio, compreso Paypal che ho sempre considerato uno dei sistemi più stabili.


Il rischio maggiore è al supermercato od al ristorante o comunque quando affidi la CC ad un altra persona o lasci in giro il bigliettino.


Originariamente inviato da: Lud von Pipper
Ciò non toglie che nelle transazioni elettroniche è saggio l'uso di carte prepagate dove si tiene solo il minimo indispensabile per effettuare i pagamenti necessari.


E' esattamente l'opposto sempre meglio una a saldo, è vero che possono dar fondo al plafond mensile ma con una semplice telefonata gratuita pui riavere i tuoi soldi mentre con una ricaricabile no.

Ciao

Sèvero
ghizmoit20 Maggio 2008, 13:40 #4
Originariamente inviato da: NeatoEurope
E' esattamente l'opposto sempre meglio una a saldo, è vero che possono dar fondo al plafond mensile ma con una semplice telefonata gratuita pui riavere i tuoi soldi mentre con una ricaricabile no.


Non sono d'accordo, poi ci metti 6 mesi di 'indagini' ad avere indietro i soldi sulla carta, ma che prima tu DEVI anticipare. Invece con la ricaricabile la usi e anche se ci lasci su 10 euro che si comprano con quei soldi ? Poi non sanno quanto hai sulla ricaricabile cosi' provano 300 euro.. negato... 100 euro negato...50 euro negato e lasciano perdere...
riuzasan20 Maggio 2008, 14:36 #5
Aggiungo che Harry Piru Sintonen è uno dei principali sviluppatori Amiga in circolazione ed è attualmente impegnato su MorphOS.
Un onore per tutta la comunità amighista e affini.
Bloody Tears20 Maggio 2008, 14:54 #6
inoltre anche sulle ricaricabili puoi avere indietro i soldi senza grossi problemi.
hexaae20 Maggio 2008, 21:08 #7
Grande Piru!!
Un Amighista come me lo conosce bene!
Blizkick per AmigaOS rulez (e sono pure fra i credits )!

Software per Amiga by Piru http://piru.dyndns.org/~p/sw.html
fika_cobra21 Maggio 2008, 11:37 #8
ma quindi a quanto ho capito esce solo una finestra di avviso...il sito resta in https quindi tutto quello che scrivi nel sito è criptato e nessuno può vederlo giusto? forse il problema sarebbe se uscisse una finestra di notifica che chiedesse l'inserimento di nome utente e pwd (simile alle credenziali di accesso per l'ftp) ...allora quello sarebbe un problema! C'è sempre chi ci casca...
indio6821 Maggio 2008, 16:01 #9
intanto a me hanno clionato una carta di credito...non sò se su pay-pal che uso, os team o qlc altro shop on lime, ma di sicuro on line e non al ristorante , ecc....fortuna che se ne sonoa ccorti in tempo e la ho annullata e mi hanno riaddebitato sul conto ilc redito residuo....da ora in poi solo ricaricabili.
blackmonktime21 Maggio 2008, 16:22 #10
"intanto a me hanno clionato una carta di credito...non sò se su pay-pal che uso, os team o qlc altro shop on lime, ma di sicuro on line e non al ristorante , ecc....fortuna che se ne sonoa ccorti in tempo e la ho annullata e mi hanno riaddebitato sul conto ilc redito residuo....da ora in poi solo ricaricabili."

Certo che se hai la stessa leggerezza nello scrivere come nel "distribuire" i dati sensibili della carta di credito nei vari shop online, allora capisco perchè ti abbiano clonato la CC..

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^