Компания PayPal заплатила независимому исследователю Адитье К. Суду премию в размере 1000 долларов за то, что он обнаружил уязвимость, позволявшую добавлять вредоносные картинки в страницы платежей.
Ошибка была обнаружена экспертом еще зимой прошлого года. Суд проинформировал специалистов PayPal об уязвимости в январе текущего года, но компания сообщила об успешной ликвидации проблемы лишь сейчас. Как заявляют разработчики, Суд не рассчитывал на премию, но после того, как уязвимость была устранена, руководство компании решило наградить исследователя.
Эксперт обратил внимание на то, что URL платежных страниц PayPal, которые могут создаваться пользователями, поддерживает параметр «image_url». В этом параметре может содержаться ссылка на изображение, которое хранится на удаленном сервере.
В результате взломщики могли пользоваться сторонними платежными страницами PayPal, чтобы доставлять вредоносные картинки. Суд показал, как можно использовать уязвимость, разместив на платежной странице произвольное изображение. Таким образом для того, чтобы использовать уязвимость, злоумышленник должен просто вынудить пользователя пройти по специальной ссылке. Поскольку URL в этом случае указывает на paypal.com, то у жертвы, скорее всего, не появилось бы никаких подозрений.