Una vulnerabilità legata alla sicurezza di PayPal ad alta severità era in grado di esporre le password degli utenti agli hacker

Con oltre 286 milioni di account attivi, PayPal è di gran lunga il processore di pagamenti più grande e popolare al mondo. Ha raggiunto quel titolo non solo perché fornisce un servizio affidabile e facile da usare, ma anche perché i suoi sviluppatori e ingegneri software hanno implementato una serie di funzionalità di sicurezza che offrono agli utenti la tranquillità che stanno cercando durante l'elaborazione dei pagamenti online. Ironia della sorte, una di queste funzionalità di sicurezza conteneva un bug che era in grado di lasciare gli utenti esposti agli attacchi di acquisizione dell'account.

Un esperto di sicurezza scopre una grave vulnerabilità di PayPal

La vulnerabilità è stata scoperta da Alex Birsan, un consulente rumeno per la sicurezza delle informazioni e ingegnere del software che passa anche il tempo a caccia di bug. Stava esaminando il processo di accesso di PayPal quando ha notato un file JavaScript che conteneva un token di richiesta di falsificazione tra siti (CSRF) e un ID di sessione. Birsan era incuriosito.

Nella sua divulgazione pubblica ha menzionato che lasciare questo tipo di dati in un file JS potrebbe esporlo agli hacker. Abbastanza sicuro, usando una tecnica nota come Cross-Site Script Inclusion (XSSI), ha messo insieme uno scenario in cui un attaccante sarebbe stato in grado di rubare il token CSRF e l'ID di sessione da un utente che era stato ingannato nel visitare un malintenzionato pagina.

Inizialmente, Alex Birsan pensava che questa fosse una notizia terribile. Supponeva che il token e l'ID sessione fossero sufficienti per impersonare un utente. Dopo numerosi tentativi di subentrare nel proprio account, tuttavia, si rese conto che un attacco riuscito avrebbe richiesto più lavoro. Tuttavia, ha continuato.

La vulnerabilità si nasconde in una funzionalità di sicurezza progettata per bloccare gli attacchi di forza bruta

Dopo ulteriori indagini, Birsan ha scoperto che il token CSRF e l'ID sessione erano effettivamente utilizzati dal meccanismo CAPTCHA di PayPal. CAPTCHA, che sta per Test di automazione pubblica completamente automatizzato per distinguere computer e esseri umani, è una delle forme più semplici di protezione contro gli attacchi di forza bruta.

A differenza di molti altri servizi online, PayPal ha deciso di non includere una sfida CAPTCHA sotto il modulo di accesso principale. Al contrario, viene visualizzato su una pagina vuota dopo un numero predefinito di tentativi di accesso non riusciti. Una volta che l'utente ha risolto con successo la sfida CAPTCHA, una richiesta HTTP POST viene inviata a PayPal, che, oltre al summenzionato token CSRF e ID sessione, contiene anche il nome utente e la password immessi dall'utente durante l'ultimo tentativo di accesso in testo semplice. Qualche altro grattacapo più tardi, Alex Birsan era pronto con la prova del concetto.

Un utente malintenzionato utilizza innanzitutto XSSI per estrarre il token CSRF e l'ID sessione valido per il browser dell'utente. Quindi, effettuerebbero alcuni tentativi di accesso utilizzando credenziali casuali, il che innescerebbe la sfida CAPTCHA. Quando l'utente accede al proprio account utilizzando lo stesso browser, i nomi utente e le password casuali vengono sovrascritti dalle credenziali valide. Quindi, tutto ciò che un attaccante avrebbe bisogno è un altro token CAPTCHA (che può essere recuperato in modo relativamente semplice utilizzando un servizio di risoluzione CAPTCHA) per rivelare i dati di accesso della destinazione in testo semplice.

PayPal si sposta rapidamente per correggere la vulnerabilità

Come puoi vedere, trovare un modo per sfruttare il bug non è stata una passeggiata nel parco. Tuttavia, l'attacco di prova di concetto ha mostrato che se lasciato incustodito, la vulnerabilità potrebbe causare gravi perdite finanziarie ad alcune persone, motivo per cui, quando Birsan ha presentato il suo rapporto attraverso il programma di ricompensa di bug di PayPal sulla piattaforma HackerOne, ha dato un massimo Punteggio CVSS.

Il primo rapporto è stato inviato il 18 novembre e, dopo 18 giorni, HackerOne ha finalmente convalidato i risultati di Birsan. PayPal ha riconosciuto il problema e ha convenuto che è piuttosto grave. Il 10 dicembre, a Birsan è stata assegnata una generosità di poco più di $ 15.300 (la somma ricompensata solo per bug di alta gravità), e solo 24 ore dopo, la vulnerabilità era già corretta. Birsan ha descritto la velocità con cui PayPal ha risolto il problema come "impressionante", un elogio che raramente viene espresso al giorno d'oggi.