PayPal posle dve nedelje najzad uklonio sigurnosni propust na sajtu

Vesti, 31.05.2013, 07:41 AM

U sredu uveče, Pay Pal je uklonio sigurnosni propust na svom portalu sa kojim je javnost bila upoznata pet dana ranije. Kompanija je za ranjivost saznala dve nedelje ranije.

Propust je svrstan u kategoriju kritičnih propusta jer omogućava napadačima da ubacuju proizvoljni JavaScript kod u sajt PayPal-a, što im pruža mogućnost prikupljanja podataka korisnika potrebnih za prijavljivanje na naloge.

Zašto je PayPal-u bilo potrebno toliko dugo da ukloni propust nije jasno s obzirom da su informacije o propustu bile dostupne na internetu još od prošle nedelje pa je hitna akcija bila opravdano očekivana. U sličnim slučajevima, kompanije obično reaguju u roku od 24 časa.

Šta više, predstavnik PayPal-a rekao je novinarima da u ovom trenutku nema naznaka da su podaci korisnika PayPal-a ugroženi, što su stručnjaci opovrgli. Napadači čije su namere kriminalne prirode mogli su da ubace fišing stranicu tako da na prvi pogled ona izgleda identično legitimnoj stranici.

Ranjivost je otkrio 17-ogodišnji student Robert Kugler, koji je najpre želeo da prijavi ranjivost preko PayPal-ovog programa koji nagrađuje pronalazače bagova koji je kompanija pokrenula prošle godine. Pošto mu PayPal nije dozvolio učešće u programu zato što je mlađi od 18 godina, Kugler je objavio pojedinosti o svom otkriću na Full Disclosure security mailing listi, ali tek pošto je PayPal-u dao rok od nedelju dana da reaguje što je kompanija propustila.

Kugler je objavio i da je od PayPal-a u sredu dobio email u kome ga kompanija obaveštava da je ranjivost koju je prijavio PayPal-u već prijavio drugi istraživač, što znači da je kompanija znala za ovaj problem i ranije ali da nije reagovala. PayPal je tu činjenicu naveo kao razlog zbog čega Kugleru nije isplaćena nagrada i uputio kritike na njegov račun zbog javnog objavljivanja informacija o ranjivosti.