Een beveiligingsonderzoeker heeft een lek in de website van PayPal ontdekt waardoor hij accounts van gebruikers kon overnemen. De kwetsbaarheid bevond zich in de pagina voor het genereren van facturen. De pagina laat gebruikers verschillende soorten bestanden uploaden. PayPal bleek echter alleen de extensie van de geüploade bestanden te controleren en niet de inhoud, zo ontdekte de onderzoeker.
Hierdoor kon hij een Flash-bestand met volledige leesrechten op www.paypal.com uploaden. Om vervolgens het account van een gebruiker over te nemen moet de gebruiker wel eerst een website van de onderzoeker bezoeken. Vervolgens kan de onderzoeker willekeurige opdrachten met het PayPal-account uitvoeren, zoals het overmaken van geld en stelen van gegevens.
De onderzoeker meldde het probleem bij PayPal, dat bugmeldingen via een speciaal programma beloont. Na acht dagen kreeg hij echter te horen dat een andere onderzoeker het probleem al had gerapporteerd en er daarom geen beloning werd uitgekeerd. "Ik weet dat onderzoekers soms dezelfde bugs vinden, maar ik denk dat PayPal beter met deze dubbele bugmeldingen moet omgaan", aldus de teleurgestelde onderzoeker.
Deze posting is gelocked. Reageren is niet meer mogelijk.