PayPal posle dve nedelje najzad uklonio sigurnosni propust na sajtu
Vesti, 31.05.2013, 07:41 AM
U sredu uveče, Pay Pal je uklonio sigurnosni propust na svom portalu sa kojim je javnost bila upoznata pet dana ranije. Kompanija je za ranjivost saznala dve nedelje ranije.
Propust je svrstan u kategoriju kritičnih propusta jer omogućava napadačima da ubacuju proizvoljni JavaScript kod u sajt PayPal-a, što im pruža mogućnost prikupljanja podataka korisnika potrebnih za prijavljivanje na naloge.
Zašto je PayPal-u bilo potrebno toliko dugo da ukloni propust nije jasno s obzirom da su informacije o propustu bile dostupne na internetu još od prošle nedelje pa je hitna akcija bila opravdano očekivana. U sličnim slučajevima, kompanije obično reaguju u roku od 24 časa.
Šta više, predstavnik PayPal-a rekao je novinarima da u ovom trenutku nema naznaka da su podaci korisnika PayPal-a ugroženi, što su stručnjaci opovrgli. Napadači čije su namere kriminalne prirode mogli su da ubace fišing stranicu tako da na prvi pogled ona izgleda identično legitimnoj stranici.
Ranjivost je otkrio 17-ogodišnji student Robert Kugler, koji je najpre želeo da prijavi ranjivost preko PayPal-ovog programa koji nagrađuje pronalazače bagova koji je kompanija pokrenula prošle godine. Pošto mu PayPal nije dozvolio učešće u programu zato što je mlađi od 18 godina, Kugler je objavio pojedinosti o svom otkriću na Full Disclosure security mailing listi, ali tek pošto je PayPal-u dao rok od nedelju dana da reaguje što je kompanija propustila.
Kugler je objavio i da je od PayPal-a u sredu dobio email u kome ga kompanija obaveštava da je ranjivost koju je prijavio PayPal-u već prijavio drugi istraživač, što znači da je kompanija znala za ovaj problem i ranije ali da nije reagovala. PayPal je tu činjenicu naveo kao razlog zbog čega Kugleru nije isplaćena nagrada i uputio kritike na njegov račun zbog javnog objavljivanja informacija o ranjivosti.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade