V službe PayPal bola nájdená nová zraniteľnosť, ktorá by mohla útočníkom pomôcť oklamať nič netušiace obete, aby nevedomky dokončili transakcie, nad ktorými predtým prebral kontrolu útočník. Ide o formu takzvaného “clickjackingu.”
Funguje to tak, že používateľské prostredie stránky je špeciálne upravené. Obeť klikne na zdanlivo neškodný prvok webovej stránky, čím sa do zariadenia dostane nebezpečný malvér, prípadne je presmerovaný na škodlivé stránky.
Útočníci stránku upravia tak, že nechajú zobraziť neviditeľnú stránku, prípadne HTML prvky na viditeľnom rozhraní. Používateľ si tak myslí, že kliká na legitímne stránky, no nie je tomu tak. V skutočnosti klikne na prvok, ktorý bol upravený hackerom.
Výskumník, ktorý tento problém na stránkach PayPal objavil, hovorí, že o ňom informoval už v októbri 2021. Útočníkovi by sa vďaka tomu mohlo podariť dostať sa k peniazom obete, ktoré má uložené na PayPal účte.
Chyba je stále aktívna a stále je teoreticky možné ju zneužiť. Výskumník, ktorý ju objavil, nedostal žiadnu “bug bounty” (odmena pre osobu, ktorá identifikuje chybu alebo zraniteľnosť v počítačovom programe alebo systéme) odmenu. PayPal sa zatiaľ k téme nevyjadril.