PayPal straft hacker wegens SSL-certificaat
De beveiligingsonderzoeker wiens onderzoek werd gebruikt voor het maken van een nep SSL-certificaat voor Paypal.com, is hiervoor door de betalingsdienst gestraft. PayPal besloot het account van Moxie Marlinspike uit te schakelen, ook al had hij niets met het SSL-certificaat te doen dat gisteren verscheen. Via dat certificaat is het mogelijk om gebruikers van Internet Explorer, Safari en Google Chrome een PayPal phishingsite voor te schotelen, zonder dat de browser hiervoor alarm staat. De aanval is deels mogelijk vanwege een beveiligingslek in een library van Microsoft, dat nog altijd op een patch wacht.
Donaties
Volgens PayPal zou de onderzoeker de regels overtreden hebben, wat betekent dat hij niet meer bij de 500 dollar kan die nog op zijn account stond. Marlinspike heeft twee gratis hacktools ontwikkeld, SSLSniff en SSLStrip. Gebruikers kunnen via PayPal een donatie aan de de hacker doen. De knoppen staan al sinds 2002 op zijn pagina, maar na het uitkomen van het certificaat nam PayPal pas actie.
Om weer toegang tot zijn account te krijgen moet Marlinspike de PayPal logo's van zijn website verwijderen. "Ik heb hier niets mee te maken en ze schorsen mijn account. Ik ben degene die ze in de eerste plaats heeft geprobeerd te waarschuwen", aldus een ontstemde onderzoeker. Een woordvoerder van PayPal wilde niet op de zaak ingaan.
En waarom dit doen bij PayPal? Er zijn zat andere sites die SSL-cert. gebruiken, waar de consequenties ook zeer ingrijpend zullen/kunnen zijn voor de gebruikers. PayPal gebruiken voor een "proof-of-concept" zorgt voor "instant fame" en wordt het ego van deze blanke Bob Marley-spike gestreeld als een donzig poesje.
ps. Microsoft, bedankt voor Uw brakke warez waardoor dit mogelijk is. Top en ga vooral zo door.
wel eerst de artikeltjes goed lezen, hè? Dat heb je duidelijk niet gedaan...
Morgen publiceert iemand een certificaat dat geldig is voor iedere willekeurige site en waarschijnlijk is die ook al vele malen aangevraagd en uitgegeven...
Gelukkig is er ook een browser die dit probleem niet heeft :) en we kunnen nog altijd Moxie de schuld van alle problemen op de wereld geven...
Lol, Predjuh. -:)
wel eerst de artikeltjes goed lezen, hè? Dat heb je duidelijk niet gedaan...
LOL, I stand corrected.... alhoewel persoonlijk ik het verhaal op the register een stuk duidelijker vind.
Ook als je het enkel voor betalingen gebruikt flikken ze dit soort geintjes. Ze hebben mij account zo eens bevroren na het doen van een betaling van 1000 euro om 4 uur 's nachts. Dat was volgens hun verdacht.
Dat je vervolgens onbetrouwbaar overkomt naar de verkoper toe wanneer net na verzending de betaling terug van zijn rekening af gaat zonder verdere melding dat de koper daar niets mee te maken heeft interesseert ze ook weinig.
Ik gebruik Paypal nog steeds omdat het in veel gevallen de makkelijkste manier is, maar ik zal mezelf er nooit of te nimmer afhankelijk van laten zijn met die fratsen van ze.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
