Nieuws
image

PayPal straft hacker wegens SSL-certificaat

woensdag 7 oktober 2009, 10:51 door Redactie, 11 reacties

De beveiligingsonderzoeker wiens onderzoek werd gebruikt voor het maken van een nep SSL-certificaat voor Paypal.com, is hiervoor door de betalingsdienst gestraft. PayPal besloot het account van Moxie Marlinspike uit te schakelen, ook al had hij niets met het SSL-certificaat te doen dat gisteren verscheen. Via dat certificaat is het mogelijk om gebruikers van Internet Explorer, Safari en Google Chrome een PayPal phishingsite voor te schotelen, zonder dat de browser hiervoor alarm staat. De aanval is deels mogelijk vanwege een beveiligingslek in een library van Microsoft, dat nog altijd op een patch wacht.

Donaties
Volgens PayPal zou de onderzoeker de regels overtreden hebben, wat betekent dat hij niet meer bij de 500 dollar kan die nog op zijn account stond. Marlinspike heeft twee gratis hacktools ontwikkeld, SSLSniff en SSLStrip. Gebruikers kunnen via PayPal een donatie aan de de hacker doen. De knoppen staan al sinds 2002 op zijn pagina, maar na het uitkomen van het certificaat nam PayPal pas actie.

Om weer toegang tot zijn account te krijgen moet Marlinspike de PayPal logo's van zijn website verwijderen. "Ik heb hier niets mee te maken en ze schorsen mijn account. Ik ben degene die ze in de eerste plaats heeft geprobeerd te waarschuwen", aldus een ontstemde onderzoeker. Een woordvoerder van PayPal wilde niet op de zaak ingaan.

Reacties (11)
07-10-2009, 10:54 door Preddie
Dat wordt een rechtzaak tegen paypal ...... ;) ik zet mijn geld op Moxie ;) ( naja niet letterlijk natuurlijk anders is het alsnog in handen van paypal :P )
07-10-2009, 11:23 door Slamaar
Moxie is een genie.... en een mongool tegelijk. Geld op een rekening hebben bij de organisatie die je een "hack" zet, is links of rechtsom, niet bijster bijdehand. Ongetwijfeld dat hij in het gelijkgesteld wordt na een rechtszaak en zijn geld terugkrijgt, maar had dit allemaal kunnen vermijden door eerst zijn geld weg te halen.

En waarom dit doen bij PayPal? Er zijn zat andere sites die SSL-cert. gebruiken, waar de consequenties ook zeer ingrijpend zullen/kunnen zijn voor de gebruikers. PayPal gebruiken voor een "proof-of-concept" zorgt voor "instant fame" en wordt het ego van deze blanke Bob Marley-spike gestreeld als een donzig poesje.

ps. Microsoft, bedankt voor Uw brakke warez waardoor dit mogelijk is. Top en ga vooral zo door.
07-10-2009, 11:25 door Anoniem
Paypal heeft op dit vlak een zeer dubieus verleden, dus ik ben eigenlijk niet verrast. Daarom is mijn accountsaldo altijd nul en gebruik ik het hooguit in combinatie met mijn creditcard.
07-10-2009, 11:59 door Anoniem
Beste Slamaar,

wel eerst de artikeltjes goed lezen, hè? Dat heb je duidelijk niet gedaan...
07-10-2009, 12:08 door Anoniem
Het is te hopen dat Microsoft nu de hete adem van hackers voelt en hun library die nu SSL-verbindingen compleet waardeloos maakt bij een MITM-attack, als de wiedeweerga verbeteren...

Morgen publiceert iemand een certificaat dat geldig is voor iedere willekeurige site en waarschijnlijk is die ook al vele malen aangevraagd en uitgegeven...

Gelukkig is er ook een browser die dit probleem niet heeft :) en we kunnen nog altijd Moxie de schuld van alle problemen op de wereld geven...
07-10-2009, 12:55 door Anoniem
Wat voor personen zouden dat zijn, die bij die banken werken en zo makkelijk iemand de nek om draaien als iets ze niet bevalt? Van echt nadenken voor ze iets doen lijken ze niet gehoord te hebben. En dat beheerd dan een deel van je vermogen.....
07-10-2009, 14:45 door Anoniem
Kijk, daarom dus geen PayPal account....
07-10-2009, 16:33 door MrBil
Door Anoniem: Kijk, daarom dus geen PayPal account....
Toch gebruik ik het, maar meer om transacties binnen één dag af te handelen.
Lol, Predjuh. -:)
08-10-2009, 00:33 door Slamaar
Door Anoniem: Beste Slamaar,

wel eerst de artikeltjes goed lezen, hè? Dat heb je duidelijk niet gedaan...

LOL, I stand corrected.... alhoewel persoonlijk ik het verhaal op the register een stuk duidelijker vind.
08-10-2009, 16:23 door Anoniem
Tja, zo is Paypal, je kunt er niet op vertrouwen want ze bevriezen wanneer ze daar zin in hebben gewoon je account voor een half jaar.
Ook als je het enkel voor betalingen gebruikt flikken ze dit soort geintjes. Ze hebben mij account zo eens bevroren na het doen van een betaling van 1000 euro om 4 uur 's nachts. Dat was volgens hun verdacht.
Dat je vervolgens onbetrouwbaar overkomt naar de verkoper toe wanneer net na verzending de betaling terug van zijn rekening af gaat zonder verdere melding dat de koper daar niets mee te maken heeft interesseert ze ook weinig.

Ik gebruik Paypal nog steeds omdat het in veel gevallen de makkelijkste manier is, maar ik zal mezelf er nooit of te nimmer afhankelijk van laten zijn met die fratsen van ze.
13-10-2009, 17:37 door Anoniem
Ik had gehoopt dat na de annexatie door eBay de kinderen bij PayPal eens normaal gingen doen met hun hooghartige gedrag. Blijkbaar kunnen ze dat nog steeds niet en met het huidige " marktaandeel" wanen ze zich blijkbaar ook nog eens onaantastbaar. Kan Lakerman niet iedereen oproepen PayPal te boycotten en dat iedereen z'n rekening leegtrekt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search