Dementor опровергает ложное сообщение об уязвимости в PayPal
Интернет партия Украины дала развернутый комментарий о нахождении украинским хакером и членом партии Андреем Шебеллой уязвимости в PayPal и опровергла обвинения в обмане, передает корреспондент «proIT»
Так, в конце июля ИПУ проинформировала, что член партии Андрей Шебелла, более известный как хакер Dementor обнаружил критическую уязвимость SQL-Injection в платежном сервисе PayPal. Dementor обратился в компанию и уязвимость в скором времени была устранена. По сообщению ИПУ, Paypal поблагодарила Dementora за оказанную помощь, а также предложила вознаграждение за содействие, однако украинский хакер отказался брать деньги.
В подтверждение проделанной работе на сайте ИПУ приведены скриншоты:
Однако спустя неделю журналист Андрей Дегелер в своем блоге раскритиковал и поставил под сомнение новость о найденной уязвимости в PayPal. Так, журналиста заинтересовал «странный английский» ответного письма от PayPal
«Если присмотреться к ответу, можно сразу заметить несколько странный английский, на котором он написан», — пишет Дегелер.
Далее журналист приводит полный текст сообщения:
Good day!
Dementor, we thank you for your invaluable support of our company. Found your vulnerability has been successfully resolved. PayPal always take care of their customers. To your request for the news publishing respond positively.
Best Regards,
PayPal Security Team
Дегелер поясняет, что язык, на котором написан ответ на скриншоте ИПУ, напоминает «английский исключительно словами». «Кроме того, кажется странным, что в адресе службы поддержки клиентов фигурирует слово «security», — пишет журналист.
Также Дегелер не поленился связаться с российским представительством PayPal, в котором ему опровергли отправку сообщения украинскому хакеру.
«Мы можем подтвердить, что Отдел безопасности PayPal не направлял никакого сообщения частному лицу по имени Dementor и что адрес электронной почты, использованный в прилагаемом изображении, не является действительным адресом PayPal», — ответили в «PayPal Россия».
Исходя из вышеизложенного у Андрея Дегелера возникли сомнения о правдоподобности нахождения уязвимость в PayPal Андреем Шебеллой.
В ответе на запрос корреспондента «proIT», украинский хакер выразил уверенность, что подтвердил наличие найденной уязвимости скриншотом и не понимает, в чем суть обвинений.
«Я связался с центральным офисом PayPal и они ответили, что не обязаны отчитываться перед Российским филиалом о закрытых/найденных уязвимостях, и я не знаю, почему Российский филиал PayPal опровергает что либо. Здесь может быть всего 2 причины: либо они не проинформированы о том, что была подобная ошибка, либо по тем же причинам, по которым Facebook не выплачивает вознаграждения за найденные уязвимости (или далеко не всегда выплачивает, придумывая дурацкие аргументы). То, что уязвимость была найдена четко видно из предоставленного скриншота, однако затерт сам sql-запрос, в связи с тем, что уязвимость может быть обнаружена и в другом месте. Таким образом, мы сэкономили вышеупомянутой платежной системе порядка 100 миллионов долларов. Так же наличие данной уязвимости может подтвердить известный американский хакер Reckz0r, с которым мы вместе разбирали детали уязвимости (каждый сделал свой вклад в ее обнаружение и исследование), и который публиковал это на Pastebin», — пояснил Андрей Шебелла.
По мнению Дегелера, комментарий Шебеллы никак не объясняет странное письмо, якобы подписанное службой безопасности PayPal, и не вносит ясности в вопрос с деньгами, «от которых отказался украинский «благородный разбойник».