Luka w zabezpieczeniach PayPal o wysokim poziomie ważności mogła ujawnić hasła użytkowników hakerom
Dzięki ponad 286 milionom aktywnych kont PayPal jest zdecydowanie największym i najpopularniejszym procesorem płatności na świecie. Osiągnął ten tytuł nie tylko dlatego, że zapewnia niezawodną, łatwą w obsłudze usługę, ale także dlatego, że jego programiści i inżynierowie oprogramowania wdrożyli szereg funkcji bezpieczeństwa, które zapewniają użytkownikom spokój, którego oczekują podczas przetwarzania płatności online. Jak na ironię, jedna z tych funkcji bezpieczeństwa zawierała błąd, który mógł narażać użytkowników na ataki polegające na przejęciu konta.
Table of Contents
Ekspert ds. Bezpieczeństwa odkrywa poważną lukę w systemie PayPal
Luka została odkryta przez Alexa Birsana, rumuńskiego konsultanta ds. Bezpieczeństwa informacji i inżyniera oprogramowania, który również spędza czas na szukaniu błędów. Przeszukiwał proces logowania PayPal, gdy zauważył plik JavaScript zawierający token CSRF (Cross-Site Request Forgery) i identyfikator sesji. Birsan był zaintrygowany.
W swoim publicznym ujawnieniu wspomniał, że pozostawienie tego rodzaju danych w pliku JS może narazić je na atak hakerów. Rzeczywiście, używając techniki znanej jako włączanie skryptów krzyżowych (XSSI), opracował scenariusz, w którym osoba atakująca byłaby w stanie ukraść token CSRF i identyfikator sesji od użytkownika, który został oszukany w celu odwiedzenia złośliwego oprogramowania strona.
Początkowo Alex Birsan myślał, że to okropne wieści. Zakładał, że token i identyfikator sesji wystarczą, by podszyć się pod użytkownika. Po wielu próbach przejęcia własnego konta zdał sobie jednak sprawę, że udany atak wymaga więcej pracy. Niemniej jednak naciskał dalej.
Luka kryje się w zabezpieczeniu zaprojektowanym w celu powstrzymania ataków siłowych
Po dalszych badaniach Birsan dowiedział się, że token CSRF i identyfikator sesji były faktycznie używane przez mechanizm CAPTCHA PayPal. CAPTCHA (skrót od Completely Automated Public Turing test to Computers and Humans Apart) to jedna z najprostszych form ochrony przed atakami siłowymi.
W przeciwieństwie do wielu innych usług online, PayPal zdecydował się nie umieszczać wyzwania CAPTCHA poniżej głównego formularza logowania. Zamiast tego pojawia się na pustej stronie po zadanej liczbie nieudanych prób logowania. Gdy użytkownik pomyślnie rozwiąże wyzwanie CAPTCHA, do PayPal wysyłane jest żądanie HTTP POST, które oprócz wspomnianego tokena CSRF i identyfikatora sesji zawiera także nazwę użytkownika i hasło, które wprowadził użytkownik podczas ostatniej próby logowania w postaci zwykłego tekstu. Później jeszcze kilka ciekawszych słów Alex Birsan był gotowy na potwierdzenie koncepcji.
Osoba atakująca najpierw użyje XSSI, aby wyodrębnić token CSRF i identyfikator sesji prawidłowy dla przeglądarki użytkownika. Następnie podejmą kilka prób logowania przy użyciu losowych poświadczeń, co wyzwoli wyzwanie CAPTCHA. Gdy użytkownik zaloguje się na swoje konto przy użyciu tej samej przeglądarki, losowe nazwy użytkowników i hasła zostaną zastąpione prawidłowymi poświadczeniami. Następnie wszystko, czego atakujący potrzebuje, to kolejny token CAPTCHA (który można stosunkowo łatwo odzyskać za pomocą usługi rozwiązywania CAPTCHA), aby ujawnić dane logowania celu w postaci zwykłego tekstu.
PayPal porusza się szybko, aby naprawić lukę
Jak widać, znalezienie sposobu na wykorzystanie błędu nie było niczym więcej niż spacerkiem po parku. Niemniej jednak atak typu proof-of-concept wykazał, że luka bez nadzoru może spowodować poważne straty finansowe dla niektórych osób i dlatego, gdy Birsan przesłał swój raport za pośrednictwem programu premiowego za błędy na platformie HackerOne, dał mu wysoką Wynik CVSS.
Pierwszy raport został wysłany 18 listopada, a po 18 dniach HackerOne ostatecznie potwierdził ustalenia Birsana. PayPal uznał problem i zgodził się, że jest on dość poważny. 10 grudnia Birsan otrzymał nagrodę w wysokości nieco ponad 15 300 $ (suma nagrodzona tylko za błędy o wysokim stopniu zagrożenia), a zaledwie 24 godziny później luka została już załatana. Birsan opisał szybkość, z jaką PayPal rozwiązał ten problem, jako „imponujący” - pochwała, która obecnie rzadko jest wydawana.
