Nhà cung cấp dịch vụ thanh toán trực tuyến PayPal cho biết đã khắc phục xong lỗi bảo mật XSS (cross-site scripting) mới được một chuyên gia nghiên cứu bảo mật tiết lộ cuối tuần trước.

Hãng bảo mật Netcraft Ltd cho biết Harry Sintonen đã tiết lộ lỗi với hãng thông qua một dịch vụ “chat” trực tuyến. Chuyên gia nghiên cứu bảo mật này cảnh báo mặc dù XSS không phải là lỗi nguy hiểm như vì website của PayPal sử dụng chứng thực bảo mật Extended Validation (EV) SSL nên đã khiến mức độ nguy hiểm tăng lên bội phần.

Sintonen cho biết lợi dụng lỗi này ông có thể chèn thêm nhiều mã nguồn hoặc bổ sung thêm những thông điệp khác trên màn hình trình duyệt của người dùng.

“Ngay sau khi nhận được thông tin về lỗi bảo mật nói trên, chúng tôi đã khẩn trương nghiên cứu tìm giải pháp khắc phục. Đến nay PayPal xin thông báo lỗi đã được sửa xong,” Michael Olderburg – người phát ngôn của PayPal – cho biết.

“Theo những gì có trong tay, chúng tôi dám khẳng định chưa có bất kỳ vụ tấn công lừa đảo nào được thực hiện thông qua việc khai thác lỗi trên đây”.

XSS là lỗi thường bị tin tặc lợi dụng để ăn cắp thông tin cá nhân hoặc tiến hành lừa đảo người dùng. Nếu khai thác thành công lỗi này tin tặc hoàn toàn có thể chèn thêm nhiều mã nguồn độc hại vào website hợp pháp hoặc sử dụng website đó vào mục đích khác.

Cuối tháng trước website của ứng cử viên thông tổng Mỹ Barack Obama cũng bị phát hiện mắc lỗi XSS. Hacker đã lợi dụng lỗi này để chuyển hướng người dùng truy cập website của ông Obama sang website của bà Hillary Clinton.

(Theo Computerworld)