Поради видот на сервис како што е PayPal наоѓањето на пропусти е важна работа за корисниците. Тие би сакале да знаат дали нивните сметки се сигурни за да не дојде до трошење пари од нивната сметка. Се разбира ова го прави сервисот добра мета за многу луѓе, а за среќа доста од нив се луѓе кои што ги пријавуваат најдените пропусти.
Во овој случај се работи за пропуст откриен од страна на Yasser Ali инженер од Египет. Тој има откриено пропуст во PayPal преку кој што успеал да се најави како било кој корисник. Во видео кое што го има објавено тој го објаснува пропустот, а истиот го има пријавено во PayPal за што соодветно е исплатен како дел од програмата за наградување на луѓе кои што ќе пријават пропусти.
Пропустот кој што го има откриено се однесува на системот за заштита од CSRF, односно Cross-site request forgery напади. Тој успешно ја има пресретната комуникацијата со PayPal при обид да се испрати пари преку сервисот со користење на туѓа email адреса. При тоа тој го пресретнува CSRF токенот кој што се користи за сите корисници. Дополнително тој има откриено дека системот за безбедносни прашања не е заштитен со лозинка, па напаѓач може да ги промени овие прашања. Заедно со CSRF токенот тој може да добие пристап до било која сметка.
Поради тоа што од PayPal се известени за пропустот, тие беа во можност да го затворат, па корисниците нема потреба да се грижат дека некој може да им пристапи до сметката, барем не на овој начин.
Извор: Geek, Yasser Ali
