UPDATE: ini telah dibunked, Paypal aman. http://thenextweb.com telah berbicara secara mendalam untuk Matt Langley, orang yang menemukan masalah itu, dan itu jelas mengapa ia menganggap ada pelanggaran keamanan yang serius tapi masalahnya adalah jauh lebih serius daripada awalnya.
Matt Langley menjelaskan:
“It seems that the ‘victim’ had opened an account using an email address of mine, with extra characters thrown in, which Gmail ignores and accepts as the same email address, so it was gmail which uncorrupted the email address and sent the emails to me, not Paypal. I had previously reported an account set-up with fraudulent email address to Paypal many times in the past, but only yesterday noticed that the email address was different to mine, in a way which on any other email system in the world would be a different email address.”
("Tampaknya bahwa 'korban' telah membuka account menggunakan alamat email saya, dengan karakter tambahan dilemparkan, yang mengabaikan dan menerima Gmail sebagai alamat email yang sama, jadi gmailyang tidak rusak alamat email dan mengirim email kepada saya, bukan Paypal. Saya sebelumnya melaporkanaccount set-up dengan alamat email palsu untuk berkali-kali Paypal di masa lalu, tetapi hanya kemarin melihatbahwa alamat email yang berbeda untuk tambang, dengan cara yang pada setiap sistem email lain di duniaakan menjadi berbeda alamat email . " )
LAMA:
Sebuah kerentanan keamanan dalam sistem PayPal memungkinkan untuk mendapatkan akses penuh, tidak terbatas ke account apapun dalam waktu 30 detik, kami sudah mendengar dari Matt Langley Terpadu Usaha Komputer Limited.
Kerentanan terletak pada fitur lupa password PayPal pemulihan. Langley mengatakan:
PayPal sends Password Forgotten Change tokens to unauthorized email addresses instead of the email address on the account. Once you follow the link they email, and change the password, you are given total access to that account. No trickery or sophisticated hacking is required. It’s a bug in their email system that corrupts email addresses.
( PayPal mengirimkan Ubah Password Lupa token ke email yang tidak sah alamat bukan alamat email padaaccount. Setelah Anda mengikuti link yang mereka email, dan mengubah password, Anda diberi akses totalke account itu. Tidak ada penipuan atau hacking canggih diperlukan. Ini bug dalam sistem email mereka yang merusak alamat email. )
Setelah penyerang memiliki akses, tidak ada yang membatasi kemampuan mereka untuk menyedot uang dari rekening.
Mengeksploitasi, tentu saja, sebuah pelanggaran langsung terhadap kebijakan privasi PayPal dan daftar binatu hukum, jadi jangan coba ini di rumah, tapi perlu PayPal untuk bertindak sebagai pencuri tidak terlalu peduli dengan hal-hal seperti.
Mengeksploitasi, tentu saja, sebuah pelanggaran langsung terhadap kebijakan privasi PayPal dan daftar binatu hukum, jadi jangan coba ini di rumah, tapi perlu PayPal untuk bertindak sebagai pencuri tidak terlalu peduli dengan hal-hal seperti.
0 comments:
Post a Comment
WELLCOME MY WEB