Un ricercatore di sicurezza finlandese ha scoperto una falla di tipo XSS che permetterebbe a malintenzionati di iniettare codice Javascript nella pagina fallata. Update: il problema è stato risolto.
 | L’ufficio stampa di PayPal ha confermato che il problema è stato tempestivamente risolto. “Gli ingegneri PayPal” precisa la nota “non hanno comunque registrato alcun tentativo di “attacco” associato a questa circostanza.” |
PayPal, il noto sito per pagamenti online, è affetto da una falla di tipo XSS (Cross Site Scripting) che permetterebbe, in alcune specifiche e limitate circostanze, di carpire i dati personali degli utenti iscritti al sito.
A rilevarla è stato il ricercatore finlandese Harry Sintonen, che ha annunciato la notizia su canali IRC il giorno stesso.
In quanto dichiarato da PayPal c'è del vero: "Ci si può fidare se l'URL inizia con https://www.paypal.com", ma non è del tutto corretta questa affermazione, poichè una protezione di tipo SSL (Secure Sockets Layer) non garantisce la sicurezza del contenuto della pagina.
L'utente viene quindi ingannato dalla barra dell'indirizzo che assume un colore verde a causa del protocollo sicuro https://: il visitatore crederà quindi che tutto sia regolare, anche se in realtà nella pagina è stato inserito codice nocivo.
PayPal sta già lavorando per correggere il bug, ma garantisce comunque che ancora non è stato sfruttato. In ogni caso qualora gli utenti dovessero riscontrare transazioni o acquisti non autorizzati, PayPal conferma che verranno risarciti fino all'ultimo centesimo.
Nessun commento:
Posta un commento