Эксперты представили концепт атаки с использованием XML-файла в формате HTML, загружаемого через раздел «Создать инвойс» («Create an Invoice»). Путем манипуляций с URL, который загружает файлы с серверов PayPal, исследователи смогли выполнить вредоносный код в браузере, пишет SecurityLab. Если киберпреступники получат доступ к этой уязвимости, это будет серьезным ударом по системе безопасности PayPal, которая гордится своей ИБ, − отметил представитель Bitdefender. Компания уже известила PayPal об уязвимости, к счастью, XSS-уязвимость работает только в Firefox.
«PayPal относится к безопасности данных наших клиентов, средств и любой информации крайне серьезно. Сотрудники компании быстро решить проблему, связанную с Cross-Site Scripting (XSS), патч был установлен 10 июля 2015 года, − говорится в заявлении компании. − У нас нет свидетельств того, что какие-либо счета PayPal были затронуты в этом случае».
PayPal регулярно сталкивается с уязвимостями, сообщения об этом постоянно появляются в новостях. Одна из брешей позволяла хакерам полностью обойти систему аутентификации, другая давала возможность удвоить средства на счету. На исправление некоторых уязвимостей у программистов компании ушло до полутора лет.
