Ένα θέμα ευπάθειας ασφαλείας PayPal υψηλής σοβαρότητας ήταν ικανό να εκθέσει τους κωδικούς χρηστών στους χάκερς

Με πάνω από 286 εκατομμύρια ενεργούς λογαριασμούς, το PayPal είναι μακράν ο μεγαλύτερος και δημοφιλέστερος επεξεργαστής πληρωμών στον κόσμο. Έχει επιτύχει τον τίτλο αυτό όχι μόνο επειδή παρέχει μια αξιόπιστη και εύκολη στη χρήση υπηρεσία αλλά και επειδή οι προγραμματιστές και οι μηχανικοί λογισμικού της έχουν εφαρμόσει μια σειρά χαρακτηριστικών ασφάλειας που δίνουν στους χρήστες την ηρεμία που έχουν όταν επεξεργάζονται τις online πληρωμές. Κατά ειρωνικό τρόπο, ένα από αυτά τα χαρακτηριστικά ασφαλείας είχε ένα σφάλμα σε αυτό που ήταν σε θέση να αφήσει τους χρήστες που εκτίθενται σε επιθέσεις εξαγοράς λογαριασμού.

Ένας ειδικός ασφαλείας διαπιστώνει μια σοβαρή ευπάθεια του PayPal

Η ευπάθεια ανακαλύφθηκε από τον Alex Birsan, σύμβουλο της ρουμανικής ασφάλειας πληροφοριών και μηχανικός λογισμικού, ο οποίος ξοδεύει επίσης το κυνήγι του σφάλματος. Είχε σπρώξει μέσω της διαδικασίας σύνδεσης του PayPal, όταν διαπίστωσε ένα αρχείο JavaScript που περιείχε ένα διακριτικό αλληλουχίας αιτήματος Cross-Site Requesting (CSRF) και ένα αναγνωριστικό περιόδου σύνδεσης. Ο Birsan ήταν περίεργος.

Ανέφερε στην δημοσιοποίησή του ότι η αποχώρηση αυτού του είδους δεδομένων σε ένα αρχείο JS θα μπορούσε να το εκθέσει σε χάκερς. Σίγουρα, χρησιμοποιώντας μια τεχνική γνωστή ως Cross-Site Script Inclusion (XSSI), συνέταξε ένα σενάριο στο οποίο ένας εισβολέας θα μπορούσε να κλέψει το αναγνωριστικό CSRF και το αναγνωριστικό περιόδου σύνδεσης από έναν χρήστη που είχε εξαπατηθεί να επισκεφθεί μια κακόβουλη σελίδα.

Αρχικά, ο Alex Birsan σκέφτηκε ότι αυτό ήταν τρομερό ειδήσεις. Υπολόγισε ότι το διακριτικό και το αναγνωριστικό περιόδου σύνδεσης ήταν αρκετά για να μιμηθούν έναν χρήστη. Μετά από πολλές προσπάθειες να αναλάβει το δικό του λογαριασμό, ωστόσο, συνειδητοποίησε ότι μια επιτυχημένη επίθεση θα απαιτούσε περισσότερη δουλειά. Παρ 'όλα αυτά, συνέχισε.

Το θέμα ευπάθειας κρύβεται σε ένα χαρακτηριστικό ασφάλειας που έχει σχεδιαστεί για να σταματά τις επιθέσεις βίαιης δύναμης

Μετά από περισσότερες έρευνες, ο Birsan διαπίστωσε ότι το σήμα CSRF και το αναγνωριστικό σύσκεψης χρησιμοποιήθηκαν στην πραγματικότητα από το μηχανισμό CAPTCHA του PayPal. Το CAPTCHA, το οποίο αντιπροσωπεύει την Πλήρως Αυτοματοποιημένη δημόσια δοκιμή Turing για να πει στους υπολογιστές και τους ανθρώπους Apart, είναι μία από τις απλούστερες μορφές προστασίας από επιθέσεις βίαιης δύναμης.

Σε αντίθεση με πολλές άλλες ηλεκτρονικές υπηρεσίες, το PayPal αποφάσισε να μην συμπεριλάβει μια πρόκληση CAPTCHA κάτω από την κύρια φόρμα σύνδεσης. Αντίθετα, εμφανίζεται σε κενή σελίδα μετά από έναν προκαθορισμένο αριθμό αποτυχημένων προσπαθειών σύνδεσης. Μόλις ο χρήστης λύσει επιτυχώς την πρόκληση CAPTCHA, αποστέλλεται ένα αίτημα HTTP POST στο PayPal, το οποίο εκτός από το προαναφερθέν αναγνωριστικό CSRF και αναγνωριστικό περιόδου σύνδεσης περιέχει επίσης το όνομα χρήστη και τον κωδικό πρόσβασης που εισήγαγε ο χρήστης κατά την πιο πρόσφατη προσπάθεια σύνδεσης σε απλό κείμενο. Κάποιος ακόμα πιο χαραγμένος στο κεφάλι αργότερα, ο Alex Birsan ήταν έτοιμος με την απόδειξη της έννοιας.

Ένας εισβολέας θα χρησιμοποιήσει πρώτα το XSSI για να εξαγάγει το αναγνωριστικό CSRF και το αναγνωριστικό περιόδου σύνδεσης που είναι έγκυρο για το πρόγραμμα περιήγησης του χρήστη. Στη συνέχεια, θα κάνουν μερικές προσπάθειες σύνδεσης χρησιμοποιώντας τυχαία διαπιστευτήρια, τα οποία θα ενεργοποιούν την πρόκληση CAPTCHA. Όταν ο χρήστης συνδεθεί στο λογαριασμό του χρησιμοποιώντας το ίδιο πρόγραμμα περιήγησης, τα τυχαία ονόματα χρήστη και κωδικοί πρόσβασης θα αντικατασταθούν από τα έγκυρα διαπιστευτήρια. Στη συνέχεια, όλοι οι επιτιθέμενοι θα χρειαστούν ένα άλλο σύμβολο CAPTCHA (το οποίο μπορεί να ανακτηθεί σχετικά εύκολα χρησιμοποιώντας μια υπηρεσία επίλυσης CAPTCHA) για να αποκαλύψει τα δεδομένα σύνδεσης του στόχου σε απλό κείμενο.

Το PayPal κινείται γρήγορα για να διορθώσει την ευπάθεια

Όπως βλέπετε, η εύρεση ενός τρόπου εκμετάλλευσης του σφάλματος δεν ήταν παρά μια βόλτα στο πάρκο. Παρ 'όλα αυτά, η επίθεση απόδειξης της έννοιας έδειξε ότι, αν αφεθεί χωρίς επιτήρηση, η ευπάθεια θα μπορούσε να προκαλέσει σοβαρές οικονομικές απώλειες σε μερικούς ανθρώπους, γι' αυτό, όταν ο Birsan υπέβαλε την έκθεσή του μέσω του προγράμματος BPP της PayPal στην πλατφόρμα HackerOne, Βαθμολογία CVSS.

Η πρώτη έκθεση απεστάλη στις 18 Νοεμβρίου, και μετά από 18 ημέρες, ο HackerOne τελικά επικύρωσε τα ευρήματα του Birsan. Το PayPal αναγνώρισε το πρόβλημα και συμφώνησε ότι είναι πολύ σοβαρό. Στις 10 Δεκεμβρίου, ο Birsan τιμήθηκε με μόλις $ 15.300 (το ποσό επιβραβεύθηκε μόνο για σφάλματα υψηλής σοβαρότητας) και μόλις 24 ώρες αργότερα, το θέμα ευπάθειας ήταν ήδη διορθωμένο. Ο Birsan περιέγραψε την ταχύτητα με την οποία το PayPal επέλυσε το ζήτημα ως "εντυπωσιακό" - έναν έπαινο που σπάνια δίνεται σήμερα.