返回列表 回复 发帖
您是第1978个浏览者

澳洲17岁男孩发现PayPal安全漏洞

澳洲一名17岁男孩通过电子邮件向澳洲费尔法克斯媒体透露他发现了全球支付网站PayPal的安全问题。他曾经找出澳洲公共交通管理局官方网站上的安全漏洞。

据悉尼晨锋报报导,17岁墨尔本男孩罗杰斯(Joshua Rogers)表示,这个安全漏洞使黑客得以绕过PayPal供应商提供的双重身份认证系统,通过这个安全漏洞上到受害者的PayPa账号上,在网上购物或者取钱。

罗杰斯表示,他于6月5日就告知Paypal公司这个安全漏洞,但是Paypal公司对这个漏洞置之不理,因此他于8月4日贴出了一篇博文,并且在文章中提供了一个他在YouTube上演示这个漏洞严重性的链接。

罗杰斯知道如果自己不公布这个问题,而是耐心等待Paypal公司的回覆,他可能会得到一笔奖金,但是他说:“我不在乎钱,我只是希望他们赶快修复这个问题。”

Paypal公司在8月15日提交给费尔法克斯媒体的声明中表示,该公司已经控制住这个安全问题,而且这个安全问题只会影响很少一部份顾客。其发言人说:“我们正在通过调查本公司的自适应支付系统(Adaptive Payments)来解决这个问题,估计很快就会得到解决。”

该发言人强调说,双重认证是可供用户选择的一个额外的安全措施,Paypal公司只有0.27%的澳洲用户使用双重保险认证。

Paypal公司表示,公司还会通过其它途径如利用持卡者的IP地址识别用户的身份,防止诈骗。如果真的发生诈骗,Paypal公司将退还用户被诈骗金额。

如果黑客想利用罗杰斯发现的漏洞,就需要知道用户登录Paypal的密码,如果受害者的数据被泄露或被恶意网址偷走了登录密码,黑客就可以使用用户的登录密码使用Paypal的网页,让Paypal误以为是受害者在登录,因此不会向用户要求额外的身份认证。

这并不是罗杰斯第一次发现大网站的漏洞。他曾经发现脸书与Skype交接中的漏洞而受到脸书公司3,000美元奖励。这个漏洞可以使他有机会提取脸书用户的Skype地址。

他还曾经发现eBay用户数据库的漏洞,得以从eBay用户数据库盗窃用户的户名和密码。由于eBay公司不为自己网站的漏洞付钱,因此他没有因为这个发现而得到奖励。

去年12月份,罗杰斯用一种简单的黑客技术从澳洲维省公共交通厅(PTV)之前的Metlink网上提取了约60万用户记录。维省公共交通数据库中包含用户的全名、生日、老年人卡号码和信用卡的9位提取号码等信息。

澳洲维省公共交通厅完全没有意识到这个问题,直到罗杰斯于今年1月份告知费尔法克斯媒体。费尔法克斯在通知了维省交通厅,要求他们修复漏洞之后,才公布了这个消息。

澳洲维省交通厅随后报警,指控罗杰斯非法进入交通厅的数据库。维省警察后来向费尔法克斯媒体证实,警方于今年5月份对罗杰斯的家进行搜查,并且收缴了罗杰斯的计算机设备。

澳洲维省警察局电子犯罪重案组探长曼利(John Manley)表示,他们搜查罗杰斯的家是由于另外一桩更严重的案子。目前此案还在调查之中。

不过曼利探长承认,真正的黑客不会将网站的安全漏洞公开,还提醒网站修复漏洞。




欢迎光临左右论坛,Sorry,您的身份为游客,查看全部内容:请登录或者加入左右
返回列表