Kwetsbaarheid bij PayPal vastgesteld

De Duitse beveiligingsonderzoeker Benjamin Kunz Mejri heeft een kwetsbaarheid in het accountsysteem van PayPal vastgesteld, waarmee via bevestigings-e-mails kwaadaardige code verstuurd kon worden. Hij heeft dit via het  bug bounty -programma gemeld.

Om de kwaadaardige e-mails te versturen maakte Mejri gebruik van een bestaand PayPal-account. Hij kon willekeurige code invoeren in het venster waar de naam van de accounthouder hoorde te staan. Vervolgens maakte hij gebruik van de functie om een PayPal-account te delen met anderen door verschillende e-mailadressen toe te voegen.

De ingevulde adressen kregen een e-mail toegestuurd, waarin werd gevraagd om de toevoeging te bevestigen. Als de gebruiker de mail opende werd de kwaadaardige code vanaf de servers van PayPal uitgevoerd.

Op die manier werden er onder andere phishing-aanvallen uitgevoerd, met het voordeel dat de e-mails afkomstig waren van het officiële PayPal-domein. De kwetsbaarheid is begin maart opgeheven en Mejri ontving 1000 dollar voor zijn melding, dat is omgerekend 880 euro. Bron: Tweakers