Paypal закрыла уязвимость, позволявшую удалить чужой аккаунт

Независимый специалист по безопасности Йонуц Черника (Ionut Cernica), сотрудничающий с компанией Vulnerability Lab, раскрыл информацию о серьезной уязвимости на сайте платежной системы Paypal. До недавнего времени любой желающий мог удалить чужой аккаунт Paypal и создать новый под тем же именем.

«После тестирования веб-приложения paypal.com я обнаружил, что если у вас американский аккаунт и вы посетите эту страницу, то можете добавить оттуда себе новый адрес электронной почты. Проблема в том, что даже если этот адрес уже используется с другим аккаунтом, он добавляется к вам без подтверждения», — пишет Йонуц.

После привязки чужой электронной почты к своему аккаунту, если зайти в него и удалить этот неподтвержденный адрес, то оригинальный аккаунт тоже удаляется.

К счастью, эта дыра сейчас закрыта, но удивителен сам факт наличия такой возможности в прошлом.

Хакер сообщил в Papal об уязвимости в апреле и компания пообещала выплатить ему вознаграждение $5000.