Показано с 1 по 1 из 1.

PayPal заблокировал аккаунт эксперта по безопасности

  1. #1
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для ALEX(XX)
    Регистрация
    31.03.2005
    Адрес
    Чернигов
    Сообщений
    10,777
    Вес репутации
    3704

    PayPal заблокировал аккаунт эксперта по безопасности

    PayPal-аккаунт эксперта по безопасности Мокси Марлинспайка был заморожен вскоре после того, как в общий доступ был выложен поддельный SSL-сертификат сервиса PayPal, созданный благодаря исследованию Марлинспайка.
    Эксперту по email пришло уведомление, где говорится, что он якобы нарушил условие использования PayPal, согласно которому он не имеет права получать оплату при помощи этого сервиса за "товары, которые раскрывают персональную информацию третьих лиц". Какой именно товар имеется в виду в данном конкретном случае, в письме не уточняется.
    Сам же Марлинспайк прилагал пэйпэловскую кнопку пожертвования к двум своим программам — SSLSniff и SSLStrip. Первая является хакерским инструментом для использования старой (и уже пропатченной) уязвимости в Internet Explorer. Вторая демонстрирует атаку на совсем свежую уязвимость в библиотеке Microsoft, позволяющую эффективно подделывать практически любые SSL-сертификаты.
    Свою последнюю находку Марлинспайк продемонстрировал этим летом на конференции Black Hat в Лас-Вегасе. Суть её состоит в том, что из-за ошибки в Microsoft CryptoAPI происходит некорректная обработка сертификатов, выданных на доменные имена, включающие подстроку "\0". Это позволяет, к примеру, владельцу домена "hacker.com" зарегистрировать сертификат на поддомен вида "www.paypal.com\0.hacker.com", который большинство браузеров будет распознавать как подлинный SSL-сертификат PayPal.
    В частности, ошибка затрагивает браузеры IE, Safari и Chrome, которые как раз используют данный API (FireFox 3.5 умеет распознавать такую попытку обмана). Марлинспайк сделал публичный доклад ещё в конце июля, но компания Microsoft до сих пор не устранила данную уязвимость.
    Во время учебного семинара на Black Hat эксперт раздал присутствующим поддельный сертификат PayPal в качестве доказательства практического применения своего исследования. При этом все получатели подписали соглашение о том, что не будут выкладывать его в открытый доступ.
    Однако два дня назад некий Тим Джонс нарушил данное соглашение. Узнав об этом, Марлинспайк назвал действия Джонса не очень благоразумными, хотя и добавил, что корректнее было бы сказать, что "пользователи Windows находятся под угрозой благодаря тому, что Microsoft до сих пор не исправила уязвимость".
    Конечно об этом узнали и в PayPal. Буквально на следующий день после этого аккаунт Марлинспайка (вместе с пятью сотнями баксов) был заорожен под предлогом, который выглядит несколько надуманно. По словам Марлинспайка, он пытался первым делом предупредить компанию о потенциальной опасности

    securitylab.ru
    Left home for a few days and look what happens...

  2. Реклама
     

Похожие темы

  1. Ответов: 0
    Последнее сообщение: 04.06.2012, 08:20
  2. PayPal выпускает платежную технологию PayPal X
    От ALEX(XX) в разделе Другие новости
    Ответов: 0
    Последнее сообщение: 03.11.2009, 16:37
  3. PayPal
    От ScratchyClaws в разделе Спам и мошенничество в сети
    Ответов: 1
    Последнее сообщение: 16.08.2007, 00:18
  4. Оплата через PayPal
    От ScratchyClaws в разделе Оффтоп
    Ответов: 21
    Последнее сообщение: 22.06.2007, 10:45
  5. www.paypal.com
    От Max_Novak в разделе Технические и иные вопросы
    Ответов: 12
    Последнее сообщение: 20.02.2007, 22:36

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01654 seconds with 18 queries