A magas szintű PayPal biztonsági rés lehetővé tette a felhasználók jelszavainak feltárását a hackerek számára
Több mint 286 millió aktív számlával a PayPal messze a legnagyobb és legnépszerűbb fizetési processzor a világon. Nemcsak azért nyerte el ezt a címet, mert megbízható, könnyen használható szolgáltatást nyújt, hanem azért is, mert fejlesztői és szoftvermérnökei számos biztonsági funkciót bevezettek, amelyek a felhasználók számára biztosítja a nyugalmat, amelyet az online fizetések feldolgozásakor követnek el. Ironikus módon az egyik ilyen biztonsági elemben volt egy hiba, amely képes a felhasználókat kitetteni a fiókváltási támadásoknak.
Table of Contents
A biztonsági szakértő súlyos PayPal sebezhetőséget fedez fel
A sebezhetőséget Alex Birsan, egy román információbiztonsági tanácsadó és szoftvermérnök fedezte fel, aki szintén időt fordít a hibakeresésre. Megkísérelte a PayPal bejelentkezési folyamatát, amikor észrevette a JavaScript fájlt, amely tartalmazza a CSRF (Cross-Site Request Forgery) tokent és a munkamenet azonosítóját. Birsan érdekelt.
A nyilvános nyilvánosságra hozatalánál megemlítette, hogy ha ilyen típusú adatokat elhagy egy JS fájlban, akkor a hackerek ki tudják őket vetni. Valóban, a Cross-Site Script Inclusion (XSSI) néven ismert technikával összeállított egy forgatókönyvet, amelyben a támadó el tudta lopni a CSRF tokent és a munkamenet azonosítóját egy felhasználótól, akit becsaptak egy rosszindulatú program látogatására. oldalt.
Alex Birsan kezdetben úgy gondolta, hogy ez szörnyű hír. Azt feltételezte, hogy a token és a munkamenet azonosítója elegendő volt a felhasználó megszemélyesítéséhez. Számos kísérlet után, hogy átvegye a saját számláját, rájött azonban, hogy a sikeres támadás több munkát igényel. Ennek ellenére folytatta.
A biztonsági rés egy biztonsági szolgáltatásban rejlik, amely a brutális erőszakos támadások megakadályozására szolgál
További vizsgálat után Birsan rájött, hogy a CSRF tokent és a munkamenet azonosítóját valójában a PayPal CAPTCHA mechanizmusa használja. A CAPTCHA, amely a Teljesen Automatizált Nyilvános Turing tesztet jelenti a számítógépek és az emberek megkülönböztetésére, a védő erőszakos támadásokkal szembeni védelem egyik legegyszerűbb formája.
Sok más online szolgáltatással ellentétben a PayPal úgy döntött, hogy nem tartalmazza a CAPTCHA kihívást a fő bejelentkezési űrlap alá. Ehelyett egy üres oldalon jelenik meg egy előre beállított számú sikertelen bejelentkezési kísérlet után. Miután a felhasználó sikeresen megoldotta a CAPTCHA kihívást, egy HTTP POST kérést küld a PayPal-nak, amely a fent említett CSRF tokennél és munkamenet-azonosítón kívül a felhasználónevet és jelszót is tartalmazza, amelyet a felhasználó a legutóbbi egyszerű bejelentkezési kísérlet során adott meg. Később még néhány fejkarcolás után Alex Birsan készen állt a koncepció igazolására.
A támadó először az XSSI-t használja a CSRF-token és a felhasználói böngészőre érvényes munkamenet-azonosító kibontásához. Ezután néhány bejelentkezési kísérletet tesz véletlenszerű hitelesítő adatok felhasználásával, ami kiváltja a CAPTCHA kihívást. Amikor a felhasználó ugyanazzal a böngészővel jelentkezik be fiókjába, a véletlenszerű felhasználóneveket és jelszavakat érvényes hitelesítő adatok írják felül. Ezután minden támadónak szüksége lesz egy másik CAPTCHA tokenre (amely viszonylag könnyen lehívható egy CAPTCHA megoldó szolgáltatás segítségével), hogy a cél bejelentkezési adatait egyszerű szövegben tárja fel.
A PayPal gyorsan mozgatja a biztonsági rést
Mint láthatja, a hiba kiaknázásának módját alig lehetett sétálni a parkban. Ennek ellenére a koncepciók támadása rámutatott, hogy ha a biztonsági rés felügyelet nélkül marad, súlyos pénzügyi veszteségeket okozhat néhány ember számára, ezért Birsan, amikor a PayPal hibajavító programján keresztül a HackerOne platformon benyújtotta jelentését, magasra adta. CVSS pontszám
Az első jelentést november 18-án küldték el, és 18 nap elteltével a HackerOne végül validálta Birsan megállapításait. A PayPal elismerte a problémát, és egyetértett abban, hogy ez elég komoly. December 10-én a Birsan valamivel több mint 15 300 dollár halajánlatot kapott (az összeg csak a súlyos hibákért jár el), és csak 24 órával később a sérülékenység már javult. Birsan „lenyűgözőnek” tartotta a kérdést, amellyel a PayPal megoldotta a kérdést - dicséretet, amelyet manapság ritkán adnak ki.