【大紀元2014年08月17日訊】(大紀元記者馬穎慧澳洲悉尼編譯報導)澳洲一名17歲男孩通過電子郵件向澳洲費爾法克斯媒體透露他發現了全球支付網站PayPal的安全問題。他曾經找出澳洲公共交通管理局官方網站上的安全漏洞。
據悉尼晨鋒報報導,17歲墨爾本男孩羅傑斯(Joshua Rogers)表示,這個安全漏洞使黑客得以繞過PayPal供應商提供的雙重身份認證系統,通過這個安全漏洞上到受害者的PayPal賬號上,在網上購物或者取錢。
羅傑斯表示,他於6月5日就告知Paypal公司這個安全漏洞,但是Paypal公司對這個漏洞置之不理,因此他於8月4日貼出了一篇博文,並且在文章中提供了一個他在YouTube上演示這個漏洞嚴重性的鏈接。
羅傑斯知道如果自己不公佈這個問題,而是耐心等待Paypal公司的回覆,他可能會得到一筆獎金,但是他說:「我不在乎錢,我只是希望他們趕快修復這個問題。」
Paypal公司在8月15日提交給費爾法克斯媒體的聲明中表示,該公司已經控制住這個安全問題,而且這個安全問題只會影響很少一部份顧客。其發言人說:「我們正在通過調查本公司的自適應支付系統(Adaptive Payments)來解決這個問題,估計很快就會得到解決。」
該發言人強調說,雙重認證是可供用戶選擇的一個額外的安全措施,Paypal公司只有0.27%的澳洲用戶使用雙重保險認證。
Paypal公司表示,公司還會通過其它途徑如利用持卡者的IP地址識別用戶的身份,防止詐騙。如果真的發生詐騙,Paypal公司將退還用戶被詐騙金額。
如果黑客想利用羅傑斯發現的漏洞,就需要知道用戶登錄Paypal的密碼,如果受害者的數據被洩露或被惡意網址偷走了登錄密碼,黑客就可以使用用戶的登錄密碼使用Paypal的網頁,讓Paypal誤以為是受害者在登錄,因此不會向用戶要求額外的身份認證。
這並不是羅傑斯第一次發現大網站的漏洞。他曾經發現臉書與Skype交接中的漏洞而受到臉書公司3,000美元獎勵。這個漏洞可以使他有機會提取臉書用戶的Skype地址。
他還曾經發現eBay用戶數據庫的漏洞,得以從eBay用戶數據庫盜竊用戶的戶名和密碼。由於eBay公司不為自己網站的漏洞付錢,因此他沒有因為這個發現而得到獎勵。
去年12月份,羅傑斯用一種簡單的黑客技術從澳洲維省公共交通廳(PTV)之前的Metlink網上提取了約60萬用戶記錄。維省公共交通數據庫中包含用戶的全名、生日、老年人卡號碼和信用卡的9位提取號碼等信息。
澳洲維省公共交通廳完全沒有意識到這個問題,直到羅傑斯於今年1月份告知費爾法克斯媒體。費爾法克斯在通知了維省交通廳,要求他們修復漏洞之後,才公佈了這個消息。
澳洲維省交通廳隨後報警,指控羅傑斯非法進入交通廳的數據庫。維省警察後來向費爾法克斯媒體證實,警方於今年5月份對羅傑斯的家進行搜查,並且收繳了羅傑斯的計算機設備。
澳洲維省警察局電子犯罪重案組探長曼利(John Manley)表示,他們搜查羅傑斯的家是由於另外一樁更嚴重的案子。目前此案還在調查之中。
不過曼利探長承認,真正的黑客不會將網站的安全漏洞公開,還提醒網站修復漏洞。
責任編輯:楊帆
