ثغرة خطيرة تم اكتشافها في منظومة الأعمال التجارية الشهيرة PayPal، هذه الثغرة تمكن القراصنة من سرقة بيانات تسجيل الدخول الخاصة بحسابك، بالإضافة إلى تفاصيل بطاقة الدفع الإلكترونية الخاصة بك.
الباحث الأمني المصري “إبراهيم حجازي”، قام باكتشاف ثغرة من نوع Stored Cross Site Scripting (XSS) في النطاق الخاص بـ Paypal’s Secure Payments.
وكما هو معروف فإن هذا النطاق يستخدم لإجراء عمليات الدفع بطريقة آمنة، وذلك أثناء القيام بأي عملية شراء عن طريق مواقع التسوق الإلكترونية. وهذا يسمح للمشترين بإجراء عملية الدفع بواسطة بطاقات الدفع الإلكترونية، أو حسابات PayPal، مما يلغي الحاجة لتخزين أي معلومات حساسة عن عملية الدفع.
كما أنه من الممكن أن يقوم المهاجم بإنشاء متجر إلكتروني وهمي، أو سرقة موقع تسوق موثوق، ومن ثم القيام بخداع المستخدم من أجل الحصول على بياناته الشخصية والمالية.
كيف يعمل هذا النوع من الهجوم Stored XSS؟
قام “حجازي”، بشرح التفاصيل الخاصة بعملية الهجوم في مقالة نشرت مدونته الشخصية، وتحدث حجازي في هذه المقالة عن أسوء السيناريوهات الهجومية، وكانت كالآتي:ـ
* المهاجم بحاجة إلى إعداد موقع تسوق وهمي، أو سرقة موقع تسوق موثوق.
* القيام بتعديل الرابط الخاص بالزر المسئول عن إتمام عملية الدفع “CheckOut”، ليكون الزر المسئول عن إجراء عملية الاستغلال لثغرة الـ XSS.
* عندما يقوم مستخدم PayPal بتصفح هذا الموقع، ثم قيامه بالضغط على زر “CheckOut” كي يدفع من خلال حساب الـ PayPal الخاص به، سوف يتم تحويله إلى صفحة الـ Secure Payments.
* يتم تحويل المستخدم لصفحة تصيد “وهمية”، يُطلب فيها من المستخدم إدخال بيانات بطاقة الدفع الخاصة به لإتمام عملية الشراء.
* بمجرد أن يقوم المستخدم بالضغط على الزر الخاص بإتمام عملية الدفع، بدلاً من دفع ثمن المنتج سيتم الدفع للمهاجم مبلغ معد مسبقاً من اختياره.
ونشر حجازي مقطع فيديو يشرح فيه كيفية القيام بعملية الاستغلال والهجوم:ـ
أبلغ حجازي فريق PayPal بالثغرة في 19 يونيو الماضي، وقام الفريق الأمني بالتحقق منها، وتم إصلاحها في الخامس والعشرين من أغسطس الماضي.
وقامت شركة PayPal بمكافأة حجازي بمبلغ 750$، جدير بالذكر أن هذا المبلغ يعد أكبر مبلغاً تمنحه الشركة كمكافأة لاكتشاف الثغرات من نوع XSS.
