'Veilige' PayPal-pagina blijkt helemaal niet veilig

© CIDimport

'Veilige' PayPal-pagina blijkt helemaal niet veilig

Geplaatst: 20 mei 2008 - 09:05

Aangepast: 17 november 2022 - 08:36

Redactie ID.nl

Een behoorlijk serieuze bug in een script maakt de 'veilige' PayPal-betalingspagina vatbaar voor hackers. Deze kunnen een overtuigende nep-pagina opstellen waarmee ze de gebruikersnaam en het wachtwoord van nietsvermoedende gebruikers kunnen stelen. De bug is extra pijnlijk omdat hij zich bevindt op een pagina die voorzien is van een ssl-beveilingscertificaat.

Een behoorlijk serieuze bug in een script maakt de 'veilige' PayPal-betalingspagina vatbaar voor hackers. Deze kunnen een overtuigende nep-pagina opstellen waarmee ze de gebruikersnaam en het wachtwoord van nietsvermoedende gebruikers kunnen stelen.

De bug is extra pijnlijk omdat hij zich bevindt op een pagina die voorzien is van een ssl-beveilingscertificaat. Het nieuwe ssl-mechanisme zou gebruikers juist meer vertrouwen in hun online aankopen moeten geven.

De Finse onderzoeker Harry Sintonen heeft inmiddels een proof-of-concept getoond waarbij hij zijn eigen code in de beveiligde PayPal-pagina weet te injecteren -- onder het nietsvermoedende oog van alle huidige internetbrowser, die de pagina gewoon als 'veilig' bestempelen. Sintonen's code roept een popup op met de woorden "Is it safe?", maar kan net zo makkelijk gebruikt worden om een nep-pagina op te roepen waarmee de gebruikersnaam en het wachtwoord van de gebruiker gestolen kunnen worden.

PayPal heeft de bug inmiddels tot de hoogste prioriteit verheven en wil zo snel mogelijk een oplossing. De site claimt stellig dat er geen misbruik gemaakt is van de bug, maar zodra consumenten er toch de dupe van worden ze hun geld terug kunnen krijgen.

Meer informatie over de ssl-bug is te vinden op de site van Ars Technica.

Deel dit artikel
Voeg toe aan favorieten