Дневной архив: 21.06.2018

Dementor отрицает неверное известие об уязвимости в PayPal

PayPal Интернет партия Украины дала детальный комментарий о пребывании российским взломщиком и членом партии Андреем Шебеллой уязвимости в PayPal и не подтвердила нарекания в подлоге, сообщает журналист «proIT»

Так, в середине августа ИПУ осведомила, что член партии Андрей Шебелла, не менее знаменитый как взломщик Dementor нашел критичную слабость SQL-Injection в платежном сервисе PayPal. Dementor направился в организацию и слабость в ближайшее время была ликвидирована. По известию ИПУ, Paypal поблагодарила Dementora за проявленную помощь, и рекомендовала награждение за участие, но российский взломщик отказался брать денежные средства.

В свидетельство выполненной работе на веб-сайте ИПУ даны снимки экрана:

Dementor отрицает неверное известие об уязвимости в PayPal

Dementor отрицает неверное известие об уязвимости в PayPal 

Но спустя неделю корреспондент Андрей Дегелер в собственном сайте осудил и поставил под сомнение весть о обнаруженной уязвимости в PayPal. Так, корреспондента интересовал «странный английский» встречного послания от PayPal

«Если приглядеться к ответу, можно увидеть несколько необычный английский, на котором он написан», — сообщает Дегелер.

Дальше корреспондент приводит общий документ известия: 

Good day!

Dementor, we thank you for your invaluable support of our company. Found your vulnerability has been successfully resolved. PayPal always take care of their customers. To your request for the news publishing respond positively.

Best Regards,

PayPal Security Team

Дегелер объясняет, что язык, на котором опубликован ответ на снимке экрана ИПУ, напоминает «английский только словами». «Кроме того, представляется необычным, что в адресе службы саппорта заказчиков бытует слово «security», — сообщает корреспондент.

Также Дегелер не поленился соединиться с отечественным консульством PayPal, в котором ему не подтвердили отправку известия российскому хакеру.

«Мы можем доказать, что Отдел безопасности PayPal не нацеливал никакого известия личному лицу по имени Dementor и что адрес электронной почты, примененный в прилагаемом изображении, не считается объективным адресом PayPal», — дали ответ в «PayPal Россия».

В зависимости от вышеизложенного у Андрея Дегелера появились колебания о правдоподобности пребывания слабость в PayPal Андреем Шебеллой.

В ответе на запрос журналиста «proIT», российский взломщик сформулировал убежденность, что доказал содержание обнаруженной уязвимости снимком экрана и не осознает, в чем сущность нареканий.

«Я соединился с главным кабинетом PayPal и они дали ответ, что не должны отчитываться перед Отечественным отделением о прикрытых/обнаруженных уязвимостях, и я не понимаю, отчего Отечественный отдел PayPal отрицает что-то. Тут вполне может быть всего 2 причины: или они не проинформированы о том, что была аналогичная ошибка, или по аналогичным основаниям, по которым Фейсбук не платит награждения за обнаруженные уязвимости (либо не всегда платит, выдумывая дурные доводы). То, что слабость была обнаружена хорошо хорошо видно из данного снимка экрана, но затерт сам sql-запрос, из-за того, что слабость вполне может быть замечена и в другом месте. Так что, мы сэкономили упомянутой платежной системе порядка 100 млн долларов США. Также содержание этой уязвимости может доказать знаменитый североамериканский взломщик Reckz0r, с которым мы совместно разбирали компоненты уязвимости (любой сделал собственный вклад в ее установление и изучение), и который издавал это на Pastebin», — объяснил Андрей Шебелла.

По словам Дегелера, комментарий Шебеллы никоим образом не разъясняет необычное послание, будто бы записанное службой безопасности PayPal, и не придает безоблачности в вопрос с денежными средствами, «от которых отказался российский «благородный разбойник».