Một lỗ hổng bảo mật nghiêm trọng mới được phát hiện trên PayPal, doanh nghiệp thương mại điện tử toàn cầu thuộc sở hữu của eBay, có thể giúp kẻ tấn công đánh cắp thông tin đăng nhập và thậm chí cả chi tiết thẻ tín dụng của khách hàng ở định dạng không được mã hóa. Nhà nghiên cứu người Ai Cập Ebrahim Hegazy phát hiện ra một lỗ hổng Stored Cross Site Scripting (XSS) trong tên miền Secure Payments (thanh toán an toàn) của Paypal. Giống như tên gọi, tên miền này được sử dụng để tiến hành thanh toán trực tuyến an toàn khi khách hàng mua sắm trên mọi trang web mua sắm trực tuyến. Nó cho phép người mua trả tiền bằng thẻ thanh toán hay các tài khoản PayPal của họ, và do đó không lưu trữ lại những thông tin nhạy cảm của khách hàng. Tuy nhiên, hình thức này cũng có thể cho phép một kẻ tấn công thiết lập một cửa hàng trực tuyến giả mạo hoặc tấn công một trang web mua sắm hợp pháp, để lừa người dùng chuyển giao thông tin cá nhân và thông tin tài chính của họ. Nhà nghiên cứu Hegazy giải thích chi tiết từng bước của quá trình thực hiện cuộc tấn công trong bài viết đăng tải trên blog. Hegazy gọi đây là kịch bản tấn công tồi tệ nhất:
- Kẻ tấn công cần thiết lập một trang web mua sắm lừa đảo hoặc chiếm quyền điều khiển một trang web mua sắm hợp pháp bất kỳ nào đó
- Sau đó, kẻ tấn công thay đổi nút “CheckOut” (Thanh toán) với một URL được thiết kế để khai thác lỗ hổng XSS
- Bất cứ khi nào người dùng Paypal duyệt trang web mua sắm đã bị kẻ lừa đảo thay đổi, và bấm vào nút “CheckOut” để trả tiền với tài khoản Paypal của họ, họ sẽ bị chuyển hướng đến trang Secure Payments
- Trang này thực ra hiển thị một trang web lừa đảo, trong đó các nạn nhân được yêu cầu nhập thông tin thẻ thanh toán của họ để hoàn thành việc mua sắm
- Sau đó bằng cách nhấp vào nút Submit Payment (xác nhận thanh toán), thay vì trả tiền cho sản phẩm (chẳng hạn như 100 USD) thì người dùng Paypal sẽ trả số tiền này cho kẻ tấn công.
Nhà nghiên cứu cũng đã đăng tải một video proof-of-concept (PoC) thể hiện cách thức cuộc tấn công hoạt động. Hegazy đã thông báo về lỗ hổng an ninh nghiêm trọng này cho nhóm PayPal vào ngày 19/6, và nhóm này đã xác nhận lỗ hổng bảo mật. Chỉ 2 tháng sau, vào ngày 25/8, lỗ hổng đã được vá. PayPal cũng đã trả khoản tiền thưởng trị giá 750 USD cho Hegazy vì đã tìm ra lỗ hổng này. Đây là khoản tiền thưởng tối đa của công ty dành cho những nhà nghiên cứu tìm thấy các lỗ hổng XSS. THN