Kilenc héttel ezelőtt a Las Vegasban megtartott Black Hat biztonsági konferencián egy fiatal hacker már bemutatta, hogy miként lehet kijátszani az SSL tanúsítványokat, kihasználva a Windowsok CyptoAPI biztonsági könyvtárában lévő programhibát. A redmondi szoftvercég már akkor felfigyelt a résre, de eddig még nem készítette el hozzá a foltozást. "A Microsoft vizsgálja a rendezvényen bemutatott SSL sérülékenységet. Miután azt lezártuk, meg fogjuk tenni a megfelelő lépéseket, hogy megvédjük felhasználóinkat" - nyilatkozta a Seattle Post-Intelligencer kérdésére a szoftvercég szóvivője.
Ironikusan fogalmazva sokaknak viszont ez már sovány vigasz lesz. Hackerek egy csoportja ugyanis már elkészítette azon támadókódját, amely képes kihasználni az érintett rést. Az exploit ráadásul már elérhető az interneten is, sőt már megjelentek az első kamu PayPal oldalak is, amelyek a felhasználók jelszavára, felhasználónevére és banki adataira utaznak.
A CyptoAPI modult kijátszva az érintett siteok ugyanis hamis SSL tanúsítványokkal képesek hitelesnek beállítani magukat. Mivel az Internet Explorer, a Google Chrome és a Safari is a Windows e könyvtárától kér segítséget a tanúsítványokkal kapcsolatban, ezért a kamu oldalak esetében nem riasztanak. A Windows megadja a zöld utat, azok pedig nem kérdezősködnek tovább. Egyedül csak a Mozilla böngészői élveznek védelmet, mivel az alapítványnál a Black Hat konferencia után sürgősen javították a böngésző ezen modulját, amely a tanúsítványok elfogadásánál már nem hagyatkozik az operációs rendszerre.
Habár a CryptoAPI biztonsági rését kihasználva a hackerek könnyedén tudnak hamis biztonsági tanúsítványokat gyártani (amelyet utána teljes mértékben hitelesnek hisznek a böngészők), eddig csak a PayPal ügyfelekre szálltak rá tömeges mértékben a támadók. A PayPal ezért azt tanácsolja az ügyfeleiknek, hogy vagy váltsanak át a Firefox 3.0 vagy a fölötti verziószámú böngészőire, vagy minden esetben gépeljék be a böngésző URL-mezőjébe az oldaluk webcímét.
