Уязвимость безопасности PayPal высокой степени уязвимости была в состоянии раскрыть пароли пользователей хакерам
С более чем 286 миллионами активных учетных записей PayPal является крупнейшим и самым популярным платежным процессором в мире. Компания получила этот титул не только потому, что предоставляет надежный и простой в использовании сервис, но и потому, что ее разработчики и разработчики программного обеспечения внедрили ряд функций безопасности, которые дают пользователям спокойствие, за которым они следят при обработке онлайн-платежей. По иронии судьбы, одна из этих функций безопасности содержала ошибку, которая позволяла пользователям подвергаться атакам захвата учетной записи.
Table of Contents
Эксперт по безопасности обнаруживает серьезную уязвимость PayPal
Уязвимость была обнаружена Алексом Бирсаном, румынским консультантом по информационной безопасности и инженером-программистом, который также занимается поиском ошибок. Он просматривал процесс входа в систему PayPal, когда заметил файл JavaScript, который содержал токен межсайтового запроса (CSRF) и идентификатор сеанса. Бирсан был заинтригован.
В своем публичном раскрытии он упомянул, что оставление данных такого рода в файле JS может раскрыть их хакерам. Конечно, используя технику, известную как межсайтовое включение сценариев (XSSI), он составил сценарий, в котором злоумышленник мог украсть токен CSRF и идентификатор сеанса у пользователя, которого обманули, чтобы он посетил вредоносное ПО. стр.
Первоначально Алекс Бирсан думал, что это ужасная новость. Он предположил, что токена и идентификатора сеанса было достаточно, чтобы выдать себя за пользователя. Однако после многочисленных попыток завладеть собственным аккаунтом он понял, что для успешной атаки потребуется больше работы. Тем не менее он продолжал.
Уязвимость скрывается в функции безопасности, предназначенной для предотвращения атак методом перебора.
После дополнительного расследования Бирсан обнаружил, что токен CSRF и идентификатор сеанса фактически использовались механизмом CAPTCHA PayPal. CAPTCHA, что означает «Полностью автоматизированный публичный тест Тьюринга», который сообщает «Компьютеры и люди отдельно», является одной из самых простых форм защиты от атак методом «грубой силы».
В отличие от многих других онлайн-сервисов, PayPal решил не включать вызов CAPTCHA ниже основной формы входа. Вместо этого он появляется на пустой странице после заданного количества неудачных попыток входа в систему. Как только пользователь успешно решает задачу CAPTCHA, в PayPal отправляется запрос HTTP POST, который, в дополнение к вышеупомянутому токену CSRF и идентификатору сеанса, также содержит имя пользователя и пароль, введенные пользователем во время последней попытки входа в систему, в виде простого текста. Еще немного почесывая голову, Алекс Бирсан был готов с доказательством концепции.
Злоумышленник сначала использует XSSI для извлечения токена CSRF и идентификатора сеанса, действительного для браузера пользователя. Затем они предпримут несколько попыток входа в систему с использованием случайных учетных данных, что вызовет вызов CAPTCHA. Когда пользователь входит в свою учетную запись с использованием того же браузера, случайные имена пользователей и пароли будут перезаписаны действительными учетными данными. Затем злоумышленнику потребуется еще один токен CAPTCHA (который можно относительно легко получить с помощью службы решения CAPTCHA), чтобы отобразить данные для входа в систему в виде простого текста.
PayPal быстро исправляет уязвимость
Как вы можете видеть, найти способ эксплуатировать ошибку было едва ли прогулкой по парку. Тем не менее, атака с проверкой концепции показала, что, если ее оставить без присмотра, уязвимость может привести к серьезным финансовым потерям для некоторых людей, поэтому, когда Бирсан представил свой отчет через программу вознаграждений за ошибки PayPal на платформе HackerOne, он дал ей высокую оценку. CVSS оценка.
Первый отчет был отправлен 18 ноября, и через 18 дней HackerOne наконец подтвердил выводы Бирсана. PayPal признал проблему и согласился, что она довольно серьезная. 10 декабря Бирсану была вручена награда в размере чуть более 15 300 долларов (сумма, вознагражденная только за ошибки с высокой степенью серьезности), и всего через 24 часа уязвимость уже была исправлена. Бирсан охарактеризовал скорость, с которой PayPal решил проблему, как «впечатляющую» - похвала, которая редко дается в наши дни.
