PayPal je v posledných rokoch najviac napadanou spoločnosťou prostredníctvom phishingu. Obmedzenia, ktoré PayPal zaviedol, sú často nad mierou únosnosti, no klienti ich nateraz ako tak akceptujú a to hlavne kvôli tomu, že chápu obavy spoločnosti o bezpečnosťou klientov.

Medzi posledné bezpečnostné opatrenia viedlo zavedenie EV SSL certifikátu a DKIM spolu s Yahoo! Mail. O to horšie však v prospech PayPal vyznieva dnes objavená XSS zraniteľnosť, ktorá umožňuje útočníkovi vložiť akýkoľvek nebezpečný kód do stránky, ktorý môže napríklad urobiť automatickú transakciu, či pozmeniť email, heslo. Najhoršie však je to, že zraniteľnosť sa nachádza v časti, ktorá je chránená certifikátom EV SSL, čo znamená, že by ju pravdepodobne prehliadli všetky obete s novým prehliadačom.

O sile XSS ste sa mohli už niekoľkokrát dočítať aj na tomto blogu. Pevne verím, že reakcia spoločnosti PayPal bude veľmi rýchla a zraniteľnosť čoskoro odstráni.

(via)