Een beveiligingslek met betrekking tot ernstige PayPal-beveiliging kon de wachtwoorden van gebruikers blootstellen aan hackers

PayPal Security Vulnerability

Met meer dan 286 miljoen actieve accounts is PayPal verreweg de grootste en populairste betalingsprocessor ter wereld. Het heeft die titel niet alleen bereikt omdat het een betrouwbare, gemakkelijk te gebruiken service biedt, maar ook omdat zijn ontwikkelaars en software-ingenieurs een aantal beveiligingsfuncties hebben geïmplementeerd die gebruikers de gemoedsrust bezorgen bij het verwerken van online betalingen. Ironisch genoeg bevatte een van deze beveiligingsfuncties een bug waardoor gebruikers konden worden blootgesteld aan aanvallen op accountovernames.

Een beveiligingsexpert ontdekt een ernstige kwetsbaarheid van PayPal

Het beveiligingslek werd ontdekt door Alex Birsan, een Roemeense consultant voor informatiebeveiliging en software-ingenieur die ook tijd besteedt aan het zoeken naar bugs. Hij doorzocht het inlogproces van PayPal toen hij een JavaScript-bestand zag dat een token voor cross-site request forgery (CSRF) en een sessie-ID bevatte. Birsan was geïntrigeerd.

Hij vermeldde in zijn openbare openbaarmaking dat het achterlaten van dit soort gegevens in een JS-bestand het zou kunnen blootstellen aan hackers. Ja hoor, met behulp van een techniek die bekend staat als Cross-Site Script Inclusion (XSSI), stelde hij een scenario samen waarin een aanvaller het CSRF-token en de sessie-ID van een gebruiker had kunnen misleiden die was misleid om een kwaadwillende te bezoeken bladzijde.

Aanvankelijk dacht Alex Birsan dat dit vreselijk nieuws was. Hij ging ervan uit dat het token en de sessie-ID voldoende waren om een gebruiker na te doen. Na talloze pogingen om zijn eigen account over te nemen, realiseerde hij zich echter dat een succesvolle aanval meer werk zou vergen. Toch zette hij door.

Het beveiligingslek gaat schuil in een beveiligingsfunctie die is ontworpen om brute force-aanvallen te stoppen

Na verder onderzoek ontdekte Birsan dat het CSRF-token en de sessie-ID daadwerkelijk werden gebruikt door het CAPTCHA-mechanisme van PayPal. CAPTCHA, wat staat voor Compleet geautomatiseerde openbare Turing-test om computers en mensen uit elkaar te houden, is een van de eenvoudigste vormen van bescherming tegen brute-force aanvallen.

In tegenstelling tot veel andere online services heeft PayPal besloten geen CAPTCHA-uitdaging onder het hoofdaanmeldingsformulier op te nemen. In plaats daarvan verschijnt het op een lege pagina na een vooraf ingesteld aantal mislukte inlogpogingen. Nadat de gebruiker de CAPTCHA-uitdaging met succes heeft opgelost, wordt een HTTP POST-verzoek naar PayPal verzonden, dat naast het bovengenoemde CSRF-token en sessie-ID ook de gebruikersnaam en het wachtwoord bevat die de gebruiker tijdens de meest recente inlogpoging in gewone tekst heeft ingevoerd. Nog wat meer krabben later, was Alex Birsan klaar met het proof of concept.

Een aanvaller gebruikt eerst XSSI om het CSRF-token en de sessie-ID die voor de browser van de gebruiker geldig is, te extraheren. Vervolgens zouden ze een paar inlogpogingen doen met behulp van willekeurige referenties, die de CAPTCHA-uitdaging zouden activeren. Wanneer de gebruiker met dezelfde browser inlogt op zijn account, worden de willekeurige gebruikersnamen en wachtwoorden overschreven door de geldige gegevens. Het enige dat een aanvaller nodig heeft, is nog een CAPTCHA-token (dat relatief eenvoudig kan worden opgehaald met een CAPTCHA-oplossingsservice) om de inloggegevens van het doel in platte tekst te onthullen.

PayPal gaat snel om het beveiligingslek te verhelpen

Zoals je kunt zien, was een manier om de bug te exploiteren nauwelijks een wandeling in het park. Desalniettemin bleek uit de proof-of-concept-aanval dat de kwetsbaarheid bij sommige mensen ernstige financiële verliezen kon veroorzaken. Daarom heeft Birsan, toen hij zijn rapport indiende via het bug bounty-programma van PayPal op het HackerOne-platform, het een hoge CVSS score.

Het eerste rapport werd verzonden op 18 november en na 18 dagen valideerde HackerOne eindelijk de bevindingen van Birsan. PayPal erkende het probleem en was het ermee eens dat het vrij ernstig is. Op 10 december kreeg Birsan een premie van iets meer dan $ 15.300 (het bedrag werd alleen beloond voor zeer ernstige bugs), en slechts 24 uur later was het beveiligingslek al hersteld. Birsan beschreef de snelheid waarmee PayPal het probleem oploste als "indrukwekkend" - een lof die tegenwoordig zelden wordt gegeven.

Tegen Duran
January 14, 2020
News
Nederlands
January 14, 2020
News

Populaire posts

Microsoft waarschuwt dat door de staat gesteunde...

4 days geleden

Trojan Al11 malwaredetectie

11 months geleden

Pinaview is een volledig uitgeruste adware-app

10 months geleden

Pop-ups "Uw iCloud wordt gehackt" en "Uw iPhone is gehackt".

7 months geleden

Wat is Lucky-ransomware?

7 months geleden

'American Express - Update uw accountgegevens' E-mailfraude

6 months geleden
Nederlands
Bezig met laden...

Cyclonis Backup Details & Terms

Het gratis Basic Cyclonis Backup-abonnement geeft je 2 GB cloudopslagruimte met volledige functionaliteit! Geen kredietkaart nodig. Meer opslagruimte nodig? Koop vandaag nog een groter Cyclonis Backup-abonnement! Zie Servicevoorwaarden, Privacybeleid, Kortingsvoorwaarden en Aankooppagina voor meer informatie over ons beleid en onze prijzen. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Cyclonis Password Manager Details & Terms

GRATIS proefversie: eenmalige aanbieding van 30 dagen! Geen creditcard vereist voor gratis proefversie. Volledige functionaliteit voor de duur van de gratis proefperiode. (Volledige functionaliteit na gratis proefversie vereist aankoop van een abonnement.) Voor meer informatie over ons beleid en onze prijzen, zie EULA, Privacybeleid, Kortingsvoorwaarden en Aankooppagina. Als u de app wilt verwijderen, gaat u naar de pagina met instructies voor het verwijderen.

Huis

Producten

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Ondersteuning

Help-bestanden Veelgestelde vragen Downloads Inquiries & Support

Bedrijf

Over ons Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privacybeleid Cookie beleid Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows is een handelsmerk van Microsoft, geregistreerd in de VS en andere landen.
Mac, iPhone, iPad en App Store zijn handelsmerken van Apple Inc., geregistreerd in de VS en andere landen.
iOS is een gedeponeerd handelsmerk van Cisco Systems, Inc. en/of zijn dochterondernemingen in de Verenigde Staten en bepaalde andere landen.
Android en Google Play zijn handelsmerken van Google LLC.