เมื่อกลางปีที่แล้ว Paypal ประกาศล่าบั๊กความปลอดภัยในเว็บและให้เงินรางวัลแก่ผู้แจ้งบั๊ก วันนี้รายละเอียดบั๊กตัวแรกก็ออกมาแล้ว โดยเป็นบั๊ก SQL Injection ที่แจ้งไปตั้งแต่เดือนสิงหาคมที่ผ่านมา (เพียงเดือนกว่าๆ หลังประกาศล่าบั๊ก)
บั๊กนี้อยู่ในส่วนการยืนยันอีเมล โดยลิงก์ที่ Paypal ส่งไปยังอีเมลผู้ใช้เพื่อยืนยันมีพารามิเตอร์ login_confirm_number_id และ login_confirm_number ที่สามารถถูกโจมตีด้วย SQL Injection ได้
รายงานปัญหานี้ไปถึง Paypal เมื่อวันที่ 1 สิงหาคมที่ผ่านมา ทาง Paypal ตอบกลับในวันที่ 7 สิงหาคม จนกระทั่งแก้ปัญหาจริงๆ เมื่อวันที่ 22 มกราคมที่ผ่านมา ผู้พบบั๊กจึงเผยแพร่รายละเอียดทั้งหมด
ที่มา - The Register, SecLists