«PayPal» выплатил эксперту $200 000 за баг, позволяющий красть деньги людей

[m_lyam]

Исследователь с ником «h4x0r_dz» обнаружил уязвимость, завязанную на кликджекинге — когда жертву обманом заставляют кликнуть на один из якобы безобидных элементов веб-страницы. Это может быть специальная кнопка или форма, но результат один — либо пользователя перенаправят на вредоносный сайт, либо загрузят зловред на его ПК.

По словам «h4x0r_dz», проблема присутствовала на странице, размещённой по адресу www.paypal.com/agreements/approve.

«Проблемная страница предназначена для соглашения о выставлении счетов, поэтому должна принимать только billingAgreementToken. Тем не менее в процессе тестирования я обнаружил, что мы можем подсунуть токены другого типа и привести к краже денег со счетов пользователей», — продолжает «h4x0r_dz».

Другими словами, киберпреступники могли разместить «iframe», который бы вынуждал жертву направить свои средства на его аккаунт. Для эксплуатации требовался всего один клик. Ещё хуже, что этот вектор работал и в случае с онлайн-сервисами, позволяющими интегрироваться с PayPal для ведения кассы.

«В этом случае я мог заставить пользователя добавить средства на мой счёт и, например, заплатить за мой аккаунт Netflix», — подытоживает «h4x0r_dz».

Не баг, а фича

 

[Ms.Smith]

неплохо так

 

[0daysec]

Why will you select me?

> Valid and unique Spam Tools
> Your desired Spam Tools
> Unlimited revision in free
> Online support 24 hours
> Faster Instant Delivery

1. Fresh SMTP AWS SES Inbox Outlook, Icloud, Aol
2. AWS SES 50K
3. AWS Ec2 Port 25 open
4. Fresh SMTP AWS SES Random Limit, Inbox Hotmail, Google, Icloud, Aol, Yahoo
5. Fresh SMTP AWS SES With Verified Good For Spam
6. Office 365, Sendgrid, Mailgun, Cpanel, RDP, Shell, SMTP Good for Spam
7. Logs / Email, Leads 2022
8. New Scampage, Letters, Methode, VPN 2022
9. Other SMTP Good for spam.

- Antibot Scampages - Any scama page you want, for any site.

Amazon Antibot Scampage
Office 365 Antibot Scampage
Plesk Server Turkey Scampage
Chase Antibot Scampage, etc.

Please leave a message if you have any hesitations about my Service
Web : https://aestore.io/
Email: [email protected]
ICQ: aestore
Payment methods: Bitcoin/ PerfectMoney, etc.
We will be glad to cooperate.


hosting
Smtp Scanner
Email Scanner
Inbox mailer
Localhost with rdp
Email extractor with key
Email Verify Inbox Smtp
smtp crack
cpanel crack
rdp crack
leads
logs
leaked
letter paypal
letter chase
letter amazon
letter ebay
scampage paypal
scampage chase
scampage amazon
scampage ebay
smtp ses
amazon aws ses
sendgrid smtp
other smtp
shell backdoor
vps crack
new methode 2022
spamming tools
tools spam
paypal hack
cc 2022
credit card 2022
good tools for spamming 2022