PayPal załatał krytyczną lukę na stronie

Firma PayPal poinformowała o załataniu krytycznego błędu typu XSS (Cross-site scripting), który został znaleziony na jej stronie w ubiegłym tygodniu przez Harry'ego "piru" Sintonena, fińskiego specjalistę ds. bezpieczeństwa. Sprawa jest o tyle nietypowa, że luka znajdowała się na stronie opatrzonej certyfikatem EV (Extended Validation) SSL.

Sintonen znalazł lukę kilka dni temu - znajdowała się ona w umieszczonym na stronie module chatu. Z analiz przeprowadzonych przez specjalistę wynika, że pozwalała ona przestępcy na osadzenie na stronie złośliwego kodu - co teoretycznie nie powinno być możliwe, choćby dlatego, że witryna opatrzona była certyfikatem EV SSL. "PayPal utrzymywał, że jeśli strona zaczyna się od https://www.paypal.com, to z całą pewnością jest ona bezpieczna. Cóż, w tym konkretnym przypadku nie było to prawdą" - mówi "piru". Aby udowodnić prawdziwość swojego odkrycia, Sintonen umieścił na stronie własny kod - wyświetlający komunikat o treści "Is it safe?".

Warto wspomnieć, że luki typu XSS zwykle wykorzystywane są przez złodziei tożsamości i phisherów - choć niekiedy korzystają z nich również inni przestępcy. Kilka tygodni temu błąd taki posłużył nieznanemu napastnikowi do włamania się na stronę Barraka Obamy i przekierowania odwiedzających ją internautów na witrynę... Hillary Clinton (pisaliśmy o tym w tekście "Obama zhakowany").

Pewnym zaskoczeniem jest, że w przypadku PayPala luka znajdowała się na stronie opatrzonej certyfikatem EV SSL - stworzonym m.in. po to, by zagwarantować internautom, że odwiedzana przez nich strona jest bezpieczna. EV jest rozwinięciem zwykłego SSL - PayPal był jednym z pierwszych przedsiębiorstw, które zdecydowało się na wdrożenie tego standardu w swoim serwisie.

Przedstawiciele firmy uspokajają, że informacja o luce została zgłoszona do nich zaraz po jej wykryciu i od razu podjęto prace, których celem było jej załatanie. Rzecznik PayPala, Michael Olderburg, zapewnia, że do firmy nie dotarły żadne sygnały o przypadkach wykorzystania tego błędu do przeprowadzenia ataku na komputery klientów.

Przypomnijmy, że nie jest to pierwszy raz, kiedy o EV jest głośno w związku z firmą PayPal. Kilka tygodni temu Michael Barrett, szef działu bezpieczeństwa przedsiębiorstwa, ogłosił, że PayPal może z czasem zablokować dostęp do swoich usług użytkownikom przeglądarek, które nie będą poprawnie obsługiwać EV SSL - wśród nich znalazły się m.in. stare wersje Internet Explorera Microsoftu oraz bieżące wydanie Safari koncernu Apple. Informacja ta wywołała spore zamieszanie - do tego stopnia, że kilka dni później PayPal wydał kolejne oświadczenie, w którym zapewniał iż użytkownicy Safari mogą spać spokojnie (pisaliśmy o tym w tekście "PayPal: Internauci, unikajcie Safari").