masakunの日記: ペイパル、攻撃者にアカウントを乗っ取られる恐れがあった脆弱性をふさぐ
日記 by
masakun
だれかの Paypal アカウントが攻撃者のクリックにより乗っ取り可能な、深刻な Web アプリケーションの脆弱性が発見されていたという(The Hacker News、VentureBeat News)。
エジプトのセキュリティ研究者 Yasser H. Ali 氏によると、Paypal ウェブサイトには「再利用可能な CSRF トークン」「認証トークンバイパス」「パスワードを忘れたときのための秘密の質問をリセットできる」という、標的型攻撃で攻撃者が利用できる3つの脆弱性があると指摘、Youtube でデモ動画を披露している(PayPal Accounts Takeover Vulnerbility)。
もちろん Yasser のレポートをうけてすでに Paypal セキュリティチームはこの穴をふさいでいるとのことだが、こういうニュースを読むと Paypal を使い続けてよいものか悩んでしまう。
【関連ストーリー】PayPalアカウントがハッキングされたらどうなる?
ペイパル、攻撃者にアカウントを乗っ取られる恐れがあった脆弱性をふさぐ More ログイン