2SDnjcoK9BL
Издание TheHackerNews сообщило, что исследователь под ником h4x0r_dz обнаружил неисправленную уязвимость в PayPal, которая обманом заставляет пользователей завершать транзакции злоумышленников одним кликом. Этот вид атаки называется кликджекинг и использует невидимую оверлейную страницу или HTML-элемент, отображаемый поверх видимой страницы. Кликнув на легитимную страницу, пользователи на самом деле нажимали на контролируемый злоумышленниками невидимый элемент.
Эксперт сообщил об ошибке в рамках программы вознаграждения за обнаружение багов в PayPal семь месяцев назад, продемонстрировав как злоумышленник может использовать кликджекинг для кражи денег жертвы.
Исследователь обнаружил уязвимость в конечной точке " http://www.paypal[.]com/agreements/approve&quot ;, которая предназначена для соглашений о списании средств без распоряжения владельца. Конечная точка должна принимать только billingAgreementToken, но эксперт доказал обратное.
"Я обнаружил, что можно передавать токены другого типа и с помощью этого красть деньги со PayPal-счета жертвы", – говорит в своем сообщении h4x0r_dz. "Злоумышленник может загрузить чувствительную к атаке конечную точку paypal.com в Iframe, и когда жертва кликнет на любое место на странице, ее деньги будут отправлены на счет злоумышленника”.
Уязвимость также может быть использована для пополнения баланса или оплаты подписки на сервисы, принимающие платежи PayPal.
"Есть множество онлайн-сервисов, которые позволяют пополнить баланс с помощью PayPal. Steam или Netflix, например! Я могу использовать эксплоит и заставить жертву пополнить мой баланс Steam или оплатить подписку на Netflix!" – добавил в своем сообщении исследователь.
И хотя эксперт опубликовал эксплоит проверки концепции уязвимости, PayPal до сих пор ее не исправила.
Платформа Deezer совместно с исследовательской компанией Ipsos опубликовала результаты крупного международного опроса о восприятии музыки, созданной искусственным интеллектом.
Исследователи Sonatype сообщили о беспрецедентной автоматизированной атаке на экосистему open-source, получившей название «IndonesianFoods».
Исследователи Netcraft выявили масштабную фишинговую операцию, нацеленную на гостей отелей.
Обнаружен один из крупнейших сборников украденных учётных данных: почти два миллиарда уникальных адресов электронной почты и 1,3 миллиарда паролей, — сообщает Трой Хант, создатель сервиса проверки паролей HIBP.
4 декабря в Москве более 50 экспертов по информационной безопасности подведут итоги года на масштабной аналитической конференции «Код ИБ ИТОГИ».
«Лаборатория Касперского» расширяет присутствие в Юго-Восточной Азии — компания назначила нового регионального директора, а также вывела работу во Вьетнаме на новый уровень, открыв офис в стране.
Сервис Have I Been Pwned загрузил один из самых больших массивов данных в своей истории - набор Synthient Credential Stuffing Threat Data, появившийся в 2025 году.
Microsoft заблокировала одну из самых известных схем обхода активации Windows 10 и Windows 11, которая работала через локальный KMS-сервер и не требовала подключения к интернету.
13 ноября на форуме «Цифровые решения» прошла пленарная сессия «Как бизнес защищает клиентов и данные в 2025 году».
28–29 января 2026 года в Москве, в Кластере «Ломоносов», состоится 28-й Национальный форум информационной безопасности «Инфофорум-2026».
