Платежная система PayPal объявила о закрытии ряда критических уязвимостей в системе безопасности, обнаруженных исследователем Avnet Technologies Ниром Голдшлагером. Среди этих брешей была уязвимость, позволяющая атакующему получать доступ к базе данных финансовых отчетов для фирм и владельцев привилегированных аккаунтов и извлекать оттуда большие объемы информации.

Уязвимости были пропатчены после того, как Голдшлагер привлек к ним внимание администрации. Самым опасным багом была проблема с установленными разрешениями на сайте business.paypal.com, поскольку она могла привести к массированной утечке данных. По словам эксперта, неавторизованный доступ к базе отчетов позволял просматривать полную информацию о сделанных за месяц или день заказах, адресах отгрузки, идентификаторах транзакций, а также их сумме и дате.

Среди прочих брешей были обнаруженные Голдшлагером уязвимости к межсайтовому скриптингу (XSS) на сайтах paypal.com и business.paypal.com, позволявшие красть идентификаторы сессий и взламывать аккаунты пользователей, а также уязвимость к межсайтовой подделке запросов (CSFR), связанная с системой мгновенного уведомления о транзакциях, с помощью которой нападающий мог получить доступ к пользовательским данным, вставив в адрес рассылки указание на свой веб-сайт. Помимо этого, исследователь указал PayPal еще на несколько менее значимых уязвимостей к CSFR.