En sikkerhedsproblem i PayPal med høj alvorlighed var i stand til at udsætte brugernes adgangskoder for hackere
Med over 286 millioner aktive konti er PayPal den klart største og mest populære betalingsprocessor i verden. Den har opnået denne titel ikke kun fordi den leverer en pålidelig, brugervenlig service, men også fordi dens udviklere og softwareingeniører har implementeret en række sikkerhedsfunktioner, der giver brugerne den ro i sindet, de er efter, når de behandler online-betalinger. Ironisk nok havde en af disse sikkerhedsfunktioner en fejl i sig, der var i stand til at efterlade brugere udsat for kontoovertagelsesangreb.
Table of Contents
En sikkerhedsekspert opdager en alvorlig PayPal-sårbarhed
Sårbarheden blev opdaget af Alex Birsan, en rumænsk informationssikkerhedskonsulent og softwareingeniør, der også bruger tid på jagt på bug. Han gennemsøgte PayPal's login-proces, da han bemærkede en JavaScript-fil, der indeholdt et CSRF-token (Cross-Site Request Forgery) og et session-ID. Birsan var fascineret.
Han nævnte i sin offentliggørelse, at det at kunne lade denne type data i en JS-fil udsætte dem for hackere. Selvfølgelig, ved hjælp af en teknik kendt som Cross-Site Script Inclusion (XSSI), sammensatte han et scenarie, hvor en angriber ville have været i stand til at stjæle CSRF-token og session-ID fra en bruger, der var blevet narret til at besøge en ondsindet side.
I starten troede Alex Birsan, at dette var forfærdelige nyheder. Han antog, at token og session-ID var tilstrækkelige til at efterligne en bruger. Efter adskillige forsøg på at overtage hans egen konto, indså han imidlertid, at et vellykket angreb ville kræve mere arbejde. Ikke desto mindre pressede han på.
Sårbarheden skjuler sig i en sikkerhedsfunktion designet til at stoppe brute-force-angreb
Efter mere undersøgelse fandt Birsan ud af, at CSRF-tokenet og session-ID faktisk blev brugt af PayPal's CAPTCHA-mekanisme. CAPTCHA, der står for Completely Automated Public Turing-test for at fortælle Computers and Humans Apart, er en af de enkleste former for beskyttelse mod angreb fra brute-force.
I modsætning til mange andre onlinetjenester har PayPal besluttet ikke at inkludere en CAPTCHA-udfordring under hoved loginformularen. I stedet vises den på en tom side efter et forudindstillet antal mislykkede loginforsøg. Når brugeren med succes har løst CAPTCHA-udfordringen, sendes en HTTP POST-anmodning til PayPal, som ud over ovennævnte CSRF-token og session-ID også indeholder brugernavnet og adgangskoden, som brugeren indtastede under det seneste loginforsøg i ren tekst. Lidt mere hovedskrammer senere var Alex Birsan klar med beviset for konceptet.
En angriberen vil først bruge XSSI til at udtrække CSRF-tokenet og session-ID'et, der er gyldigt for brugerens browser. Derefter foretager de et par loginforsøg ved hjælp af tilfældige legitimationsoplysninger, hvilket ville udløse CAPTCHA-udfordringen. Når brugeren logger på deres konto ved hjælp af den samme browser, vil de tilfældige brugernavne og adgangskoder blive overskrevet af de gyldige legitimationsoplysninger. Derefter er alt, hvad en angriberen har brug for, et andet CAPTCHA-token (som relativt let kan hentes ved hjælp af en CAPTCHA-løsningstjeneste) for at afsløre målets login-data i ren tekst.
PayPal bevæger sig hurtigt for at rette op på sårbarheden
Som du kan se, var det næppe en tur i parken at finde en måde at udnytte fejlen på. Ikke desto mindre viste bevisbegrænsningsangrebet, at hvis sårbarheden ikke efterlades, kan sårbarheden forårsage alvorlige økonomiske tab for nogle mennesker, hvorfor han, da Birsan indsendte sin rapport via PayPal's bug-bounty-program på HackerOne-platformen, gav den CVSS-score.
Den første rapport blev sendt den 18. november, og efter 18 dage validerede HackerOne endelig Birsans fund. PayPal erkendte problemet og accepterede, at det er ret alvorligt. Den 10. december blev Birsan tildelt en gave på lidt over $ 15.300 (summen belønnet kun for fejl med høj alvorlighed), og kun 24 timer senere var sårbarheden allerede rettet. Birsan beskrev den hastighed, hvorpå PayPal løste problemet som "imponerende" - en ros, som sjældent gives ud i dag.
