著名電子支付平台 PayPal 被發現嚴重安全漏洞,該漏洞允許黑客利用做偷取用戶登入憑證,甚至能明文獲取詳細信用卡資料。埃及研究人員 Ebrahim Hegazy 在 Paypal 的安全支付域名中發現跨網站指令碼(Cross-site scripting, XSS)漏洞可被利用作攻擊。
Paypal 的安全支付域名原意是保障用戶在網上購物時的安全,令用戶能在使用信用卡或 PayPal 賬戶支付費用時,無需儲存他們的敏感資料,然而黑客可以設立惡意網上購物網站或劫持正常的網上購物網站,再透過安全漏洞,欺騙用戶輸入他們的個人和財務資料。
研究人員逐步拆解黑客攻擊
Ebrahim Hegazy 還在個人 Blog 中詳細講述黑客可以如何利用安全漏洞作攻擊。首先黑客需要如上文所述,先設立一個惡意網上購物網站或劫持正常的網上購物網站,然後偽造一個 CheckOut (結賬)的按鍵,但其實是利用了 XSS 安全漏洞設計的 URL。
當用戶受騙按下該按鍵並使用 Palpay 賬號支付時,就會被導向一個偽造的安全支付頁面,該頁面實際上是釣魚式攻擊頁面,欺騙用戶輸入賬號資料來完成交易。如果用戶沒有懷疑輸入資料並按下確認按鍵,用戶並非支付購買商品的價值,而是黑客所定下的任何金額。
Ebrahim Hegazy 亦釋出示範影片證實黑客可以利用該漏洞來達成攻擊,而該漏洞已經 6 月 19 日報告給 PayPal 安全團隊,經過兩個月後安全團隊稱漏洞已在 8 月 25 日修復,而 Ebrahim Hegazy 也獲得 750 美元發現安全漏洞的獎勵。
Source: The Hacker News
