Eine Sicherheitslücke mit hohem Schweregrad in PayPal konnte dazu führen, dass die Kennwörter der Benutzer Hackern ausgesetzt wurden

PayPal ist mit über 286 Millionen aktiven Konten der mit Abstand größte und beliebteste Zahlungsdienstleister der Welt. Das Unternehmen hat diesen Titel nicht nur erhalten, weil es einen zuverlässigen und benutzerfreundlichen Service bietet, sondern auch, weil seine Entwickler und Softwareentwickler eine Reihe von Sicherheitsfunktionen implementiert haben, die den Benutzern die Gewissheit geben, dass sie bei der Verarbeitung von Online-Zahlungen auf der sicheren Seite sind . Ironischerweise wies eines dieser Sicherheitsmerkmale einen Fehler auf, der dazu führte, dass Benutzer Kontenübernahmeangriffen ausgesetzt waren.

Ein Sicherheitsexperte entdeckt eine schwere PayPal-Sicherheitslücke

Die Sicherheitslücke wurde von Alex Birsan entdeckt, einem rumänischen Berater für Informationssicherheit und Softwareingenieur, der auch Zeit mit der Fehlersuche verbringt. Er hat gerade den Anmeldevorgang von PayPal durchgesehen, als er eine JavaScript-Datei mit einem CSRF-Token (Cross-Site Request Forgery) und einer Sitzungs-ID entdeckte. Birsan war fasziniert.

In seiner öffentlichen Offenlegung erwähnte er, dass das Belassen dieser Art von Daten in einer JS-Datei Hacker aussetzen könnte. Mit einem Verfahren, das als Cross-Site Script Inclusion (XSSI) bezeichnet wird, hat er ein Szenario erstellt, in dem ein Angreifer das CSRF-Token und die Sitzungs-ID von einem Benutzer stehlen konnte, der dazu verleitet wurde, einen böswilligen Benutzer aufzusuchen Seite.

Anfangs hielt Alex Birsan dies für eine schreckliche Nachricht. Er nahm an, dass das Token und die Sitzungs-ID ausreichten, um sich als Benutzer auszugeben. Nach zahlreichen Versuchen, sein eigenes Konto zu übernehmen, erkannte er jedoch, dass ein erfolgreicher Angriff mehr Arbeit erfordern würde. Trotzdem machte er weiter.

Die Sicherheitsanfälligkeit verbirgt sich in einer Sicherheitsfunktion, die dazu dient, Brute-Force-Angriffe zu stoppen

Nach eingehender Untersuchung stellte Birsan fest, dass das CSRF-Token und die Sitzungs-ID tatsächlich vom CAPTCHA-Mechanismus von PayPal verwendet wurden. CAPTCHA, das für Completely Automated Public Turing Test steht, um Computer und Menschen auseinander zu halten, ist eine der einfachsten Formen des Schutzes vor Brute-Force-Angriffen .

Im Gegensatz zu vielen anderen Onlinediensten hat PayPal entschieden, keine CAPTCHA-Challenge unter das Hauptanmeldeformular aufzunehmen. Stattdessen wird es nach einer voreingestellten Anzahl fehlgeschlagener Anmeldeversuche auf einer leeren Seite angezeigt. Sobald der Benutzer die CAPTCHA-Herausforderung erfolgreich gelöst hat, wird eine HTTP-POST-Anforderung an PayPal gesendet, die neben dem oben genannten CSRF-Token und der Sitzungs-ID auch den Benutzernamen und das Kennwort enthält, die der Benutzer beim letzten Anmeldeversuch im Klartext eingegeben hat. Später kratzte Alex Birsan noch ein wenig am Kopf und war mit dem Proof of Concept fertig.

Ein Angreifer verwendet zuerst XSSI, um das CSRF-Token und die Sitzungs-ID zu extrahieren, die für den Browser des Benutzers gültig sind. Dann würden sie einige Anmeldeversuche mit zufälligen Anmeldeinformationen durchführen, was die CAPTCHA-Herausforderung auslösen würde. Wenn sich der Benutzer mit demselben Browser bei seinem Konto anmeldet, werden die zufälligen Benutzernamen und Kennwörter durch die gültigen Anmeldeinformationen überschrieben. Dann benötigt ein Angreifer lediglich ein weiteres CAPTCHA-Token (das mit einem CAPTCHA-Lösungsdienst relativ einfach abgerufen werden kann), um die Anmeldedaten des Ziels im Klartext anzuzeigen.

PayPal geht schnell vor, um die Sicherheitsanfälligkeit zu beheben

Wie Sie sehen, war es kaum ein Spaziergang im Park, einen Weg zu finden, um den Fehler auszunutzen. Der Proof-of-Concept-Angriff hat jedoch gezeigt, dass die Sicherheitsanfälligkeit, wenn sie unbeaufsichtigt bleibt, für einige Personen erhebliche finanzielle Verluste verursachen kann. Daher hat Birsan bei der Übermittlung seines Berichts über das Programm zur Bugs-Bounty von PayPal auf der HackerOne-Plattform einen High-Wert vergeben CVSS-Punktzahl.

Der erste Bericht wurde am 18. November versandt, und nach 18 Tagen validierte HackerOne schließlich Birsans Ergebnisse. PayPal erkannte das Problem an und stimmte zu, dass es ziemlich ernst ist. Am 10. Dezember erhielt Birsan ein Kopfgeld von etwas mehr als 15.300 US-Dollar (die Summe, die nur für Bugs mit hohem Schweregrad belohnt wurde), und nur 24 Stunden später war die Sicherheitsanfälligkeit bereits behoben. Birsan beschrieb die Geschwindigkeit, mit der PayPal das Problem behebt, als "beeindruckend" - ein Lob, das heutzutage nur noch selten vergeben wird.