熱門交易平台 eBay 旗下用戶數眾的支付服務 Paypal 近日被揭有重大漏洞,黑客可透過一鍵就取得用戶帳號的控制權,威脅達 1.56 億用戶的資料安全。
帳戶安全如「無掩雞籠」
據埃及資安研究人員 Yasser H. Ali 指,Paypal 上至少有 3 的嚴重漏洞:分別為跨網站偽造要求 (Cross-Site Request Forgery,CSRF/XSRF)、繞過身份驗證機制及重置帳戶的安全問題,為黑客提供各種輕易就可取得帳戶控制權的方法,黑客更可藉相關漏洞作針對性攻擊。
Yasser 在一段影片中展示上述漏洞被黑客應用時的實際情況,並藉此驗證各種被攻擊的可能性。影片中 Yasser 透過一種攻擊串連起上述 3 種漏洞:透過跨網站偽造要求漏洞,他成功將身份為攻擊者的自己的電郵秘密地加插到目標帳戶中,繼而重置目標帳戶的安全問題。
據 Yasser 指,CSRF 的驗證碼可對同一特定目前電郵地址或登入名稱重覆生效;換言之,若黑客得到任何 CSRF tokens 後,就可對相關用戶帳號為所欲為。
https://www.youtube.com/watch?v=KoFFayw58ZQ
Source:The Hacker News
