Платежная система PayPal выплатила 3000 долларов за информацию, которая позволила устранить уязвимость работы с базой данных PayPal. Устраненная уязвимость позволяла проводить в отношении PayPal атаку типа SQL-инъекция. Получателем вознаграждения стала компания Vulnerability Laboratory, которая впервые сообщила о критически опасных ошибках в PayPal еще в августе прошлого года, сейчас в этой компании говорят, что полностью проблема с базой данных была устранена в конце декабря. В свою очередь PayPal отмечает, что компания впервые выплачивала вознаграждение за помощь в поиске уязвимостей, связанных непосредственно с сайтом, а не с платежной платформой. Компании говорят, что устраненная уязвимость позволяла атакующему выявить в коде идентификатор пользователя, а также помогала обойти фильтры безопасности PayPal, что в итоге позволяло скомпрометировать серверное программное обеспечение сервиса и получить информацию о платежных операциях пользователя. Уязвимость присутствовала как в самом сайте, так и в интерфейсе eCommerce-системы PayPal. В ряде случаев она позволяла получить привилегии низкоуровневого приложения на серверах PayPal.
Подробности