Didelio sunkumo „PayPal“ saugumo pažeidžiamumas galėjo atskleisti vartotojų slaptažodžius įsilaužėliams.
Turinti daugiau nei 286 milijonus aktyvių sąskaitų, „PayPal“ yra pats didžiausias ir populiariausias mokėjimų tvarkytojas pasaulyje. Jis pelnė šį titulą ne tik todėl, kad teikia patikimą, lengvai naudojamą paslaugą, bet ir todėl, kad jos kūrėjai ir programinės įrangos inžinieriai įdiegė daugybę saugos funkcijų, suteikiančių vartotojams ramybę, kurią jie patiria tvarkydami mokėjimus internetu. Ironiška, bet viena iš šių saugos funkcijų turėjo klaidą, dėl kurios vartotojai galėjo patekti į sąskaitos perėmimo išpuolius.
Table of Contents
Saugos ekspertas nustato didelę „PayPal“ spragą
Pažeidžiamumą atrado Alexas Birsanas, Rumunijos informacijos saugumo konsultantas ir programinės įrangos inžinierius, kuris taip pat praleidžia laiką klaidų medžioklėje. Jis mėgdžiojo „PayPal“ prisijungimo procesą, kai pastebėjo „JavaScript“ failą, kuriame yra „Cross-Site Request Forgery“ (CSRF) prieigos raktas ir sesijos ID. Birsanas buvo suintriguotas.
Viešai skelbdamas jis užsiminė, kad palikdami tokio pobūdžio duomenis JS byloje, jis gali patekti į piratus. Žinoma, naudodamas metodą, žinomą kaip „Cross-Site Script Inclusion“ (XSSI), jis sukūrė scenarijų, kuriame užpuolikas būtų galėjęs pavogti CSRF prieigos raktą ir seanso ID iš vartotojo, kuris buvo apgautas aplankyti kenkėjišką puslapis.
Iš pradžių Aleksas Birsanas manė, kad tai buvo baisi žinia. Jis padarė prielaidą, kad prieigos rakto ir sesijos ID pakako apsimetinėti vartotoju. Tačiau po daugybės bandymų perimti savo sąskaitą jis suprato, kad sėkmingam puolimui reikės daugiau darbo. Nepaisant to, jis spaudė.
Pažeidžiamumas slepiasi apsaugos priemonėje, skirtoje sustabdyti žiaurios jėgos išpuolius
Atlikęs daugiau tyrimų, Birsanas išsiaiškino, kad CSRF prieigos raktas ir sesijos ID iš tikrųjų buvo naudojami „PayPal“ CAPTCHA mechanizme. „CAPTCHA“, kuris reiškia visiškai automatizuotą „Public Turing“ testą, skirtą pasakyti kompiuteriams ir žmonėms, yra viena iš paprasčiausių apsaugos nuo brutalios jėgos išpuolių formų.
Skirtingai nuo daugelio kitų internetinių paslaugų, „PayPal“ nusprendė neįtraukti CAPTCHA iššūkio žemiau pagrindinės prisijungimo formos. Vietoj to, jis pasirodo tuščiame puslapyje po iš anksto nustatyto nepavykusių prisijungimo bandymų skaičiaus. Kai vartotojas sėkmingai išsprendžia CAPTCHA iššūkį, „PayPal“ siunčiama HTTP POST užklausa, kurioje, be jau minėto CSRF prieigos rakto ir sesijos ID, taip pat yra vartotojo vardas ir slaptažodis, kurį vartotojas įvedė paskutinio prisijungimo bandymo metu paprastu tekstu. Vėliau šiek tiek sukramčius galvą, Alexas Birsanas buvo pasirengęs su koncepcijos įrodymu.
Užpuolikas pirmiausia pasinaudos XSSI, kad išgautų CSRF prieigos raktą ir vartotojo naršyklėje galiojantį seanso ID. Tada jie keletą kartų bandys prisijungti naudodamiesi atsitiktiniais prisijungimo duomenimis, kurie suaktyvins CAPTCHA iššūkį. Kai vartotojas prisijungia prie savo paskyros naudodamas tą pačią naršyklę, atsitiktiniai vartotojo vardai ir slaptažodžiai būtų perrašomi galiojančiais kredencialais. Tada reikia tik vieno užpuoliko - kito „CAPTCHA“ prieigos rakto (kurį galima gana lengvai gauti naudojant „CAPTCHA“ sprendimo paslaugą), kad paprastu tekstu būtų atskleisti tikslo prisijungimo duomenys.
„PayPal“ greitai pataiso pažeidžiamumą
Kaip matai, rasti būdą, kaip ištaisyti klaidą, vargu ar buvo galima vaikščioti po parką. Nepaisant to, koncepcijos įrodymo išpuolis parodė, kad pažeidžiamumas kai kuriems žmonėms gali sukelti didelių finansinių nuostolių, todėl Birsanas, pateikęs savo ataskaitą per „PayPal“ klaidų atgavimo programą „HackerOne“ platformoje, suteikė jai aukštą CVSS rezultatas.
Pirmoji ataskaita buvo išsiųsta lapkričio 18 d., O po 18 dienų „HackerOne“ galutinai patvirtino Birsano išvadas. „PayPal“ pripažino problemą ir sutiko, kad ji gana rimta. Gruodžio 10 d. „Birsan“ buvo apdovanotas kiek daugiau nei 15 300 JAV dolerių vertės užmokesčiu (suma buvo atlyginta tik už labai rimtas klaidas), o praėjus vos 24 valandoms pažeidžiamumas jau buvo pataisytas. Birsanas apibūdino, kaip greitai „PayPal“ išsprendė problemą, kaip „įspūdingą“ - pagyrimą, kuris šiais laikais retai skiriamas.
