Circa una settimana fa, un security researcher della Avnet Technologies, Nir Goldshlager, ha scovato vulnerabilita' multiple all'interno dell'affermato sistema PayPal. Una di queste vulnerabilita' consentirebbe all'attacker di venire in possesso di informazioni riservate riguardanti il sistema di back-end nonche' di informazioni sensibili riguardanti gli utenti business e premier di PayPal.

I siti affetti da tale vulnerabilita' (oramai patchate dal team di PayPal) sono:

In particolare, l'attacker, poteva predisporre sia attacchi XSS, i quali permettevano il vero e proprio furto di ID di sessione e hijacking degli account utente, sia attacchi CSRF con il quale era possibile esporre informazioni sensibili dei clienti.

In dettaglio, l'attacco CSRF, entrava in azione quando il sistema IPN (Instant Payment Notification), inviava all'utente informazioni circa l'avvenuta transazione: l'attacker, tramite sea surf, predisponeva il proprio sito tra i settaggi IPN della vittima cosi', quando avveniva una transazione, il sistema inviava direttamente al sito dell'attacker le informazioni riservate.

PayPal ha provveduto a fixare queste vulnerabilita' ammettendo comunque che il tipo a cui queste fanno riferimento e' davvero complesso da trattare in termini di sicurezza delle web app.