В декабре 2015 года я обнаружил критически опасную уязвимость в одном из сайтов PayPal для бизнеса, которая позволяла мне выполнять произвольные команды на веб-серверах внутри корпоративной сети. При отправке веб-формы на сайте manager.paypal.com в одном из скрытых параметров передавались закодированные данные в виде сериализованного объекта Java. Данный параметр можно было подделать, изменив название класса и значения его свойств, что и привело к выполнению произвольного кода на серверах. Я немедленно сообщил об этой проблеме в PayPal, и она была быстро исправлена...

Для успешного взлома, злоумышленнику нужно знать всего лишь номер телефона! У сервисов PayPal и Venmo возможно сбросить пароль с помощью текстового сообщений, доставляемого на телефон, злоумышленник может провести атаку SIM swapping и получить контроль над аккаунтом пользователя...