(大纪元记者马颖慧澳洲悉尼编译报导)澳洲一名17岁男孩通过电子邮件向费尔法克斯媒体透露他发现了全球支付网站PayPal的安全问题。他曾经找出澳洲公共交通管理局官方网站上的安全漏洞。
据悉尼晨锋报报导,17岁墨尔本男孩罗杰斯(JoshuaRogers)表示,这个安全漏洞使黑客得以绕过PayPal供应商提供的双重身份认证系统,通过这个安全漏洞上到受害者的PayPa账号上,在网上购物或者取钱。
罗杰斯表示,他于6月5日就告知Paypal公司这个安全漏洞,但是Paypal公司对这个漏洞置之不理,因此他于8月4日贴出了一篇博文,并且在文章中提供了一个他在YouTube上演示这个漏洞严重性的链接。
罗杰斯知道如果自己不公布这个问题,而是耐心等待Paypal公司的回覆,他可能会得到一笔奖金,但是他说:“我不在乎钱,我只是希望他们赶快修复这个问题。”
Paypal公司在8月15日提交给费尔法克斯媒体的声明中表示,该公司已经控制住这个安全问题,而且这个安全问题只会影响很少一部份顾客。其发言人说:“我们正在通过调查本公司的自适应支付系统(AdaptivePayments)来解决这个问题,估计很快就会得到解决。”
该发言人强调说,双重认证是可供用户选择的一个额外的安全措施,Paypal公司只有0.27%的澳洲用户使用双重保险认证。
Paypal公司表示,公司还会通过其它途径如利用持卡者的IP地址识别用户的身份,防止诈骗。如果真的发生诈骗,Paypal公司将退还用户被诈骗金额。
如果黑客想利用罗杰斯发现的漏洞,就需要知道用户登录Paypal的密码,如果受害者的数据被泄露或被恶意网址偷走了登录密码,黑客就可以使用用户的登录密码使用Paypal的网页,让Paypal误以为是受害者在登录,因此不会向用户要求额外的身份认证。
这并不是罗杰斯第一次发现大网站的漏洞。他曾经发现脸书与Skype交接中的漏洞而受到脸书公司3,000美元奖励。这个漏洞可以使他有机会提取脸书用户的Skype地址。
他还曾经发现eBay用户数据库的漏洞,得以从eBay用户数据库盗窃用户的户名和密码。由于eBay公司不为自己网站的漏洞付钱,因此他没有因为这个发现而得到奖励。
去年12月份,罗杰斯用一种简单的黑客技术从维省公共交通厅(PTV)之前的Metlink网上提取了约60万用户记录。维省公共交通数据库中包含用户的全名、生日、老年人卡号码和信用卡的9位提取号码等信息。
维省公共交通厅完全没有意识到这个问题,直到罗杰斯于今年1月份告知费尔法克斯媒体。费尔法克斯在通知了维省交通厅,要求他们修复漏洞之后,才公布了这个消息。
维省交通厅随后报警,指控罗杰斯非法进入交通厅的数据库。维省警察后来向费尔法克斯媒体证实,警方于今年5月份对罗杰斯的家进行搜查,并且收缴了罗杰斯的计算机设备。
维省警察局电子犯罪重案组探长曼利(JohnManley)表示,他们搜查罗杰斯的家是由于另外一桩更严重的案子。目前此案还在调查之中。
不过曼利探长承认,真正的黑客不会将网站的安全漏洞公开,还提醒网站修复漏洞。
(责任编辑:杨帆)
本文标签:墨尔本, 悉尼, 澳洲, 澳洲悉尼
From 澳洲17岁男孩发现PayPal安全漏洞-来源:澳洲新闻
没有评论:
发表评论