Rejoignez-Nous sur

PayPal récompense un pirate informatique qui découvre sa vulnérabilité

LYNXMPEDA611J L

News

PayPal récompense un pirate informatique qui découvre sa vulnérabilité

Pay Pal a admis que quelqu'un avait découvert une grave violation de la sécurité pouvant conduire à la divulgation de mots de passe d'utilisateurs à un pirate. Alex Birsan, qui a découvert la brèche, a obtenu une prime de bogue d'une valeur de 15 300 $ pour avoir signalé le problème. La vulnérabilité elle-même a été révélée le 8 janvier et a depuis été réparée.

Dans sa divulgation publique, Birsan a écrit que ceci "est l'histoire d'un bogue de haute gravité affectant ce qui est probablement l'une des pages les plus visitées de PayPal", se référant au formulaire de connexion.

Tout en explorant le flux d'authentification principal de PayPal, l'attention de Birsan a été attirée sur le fait qu'un fichier JavaScript (JS) contenait quelque chose ressemblant à un jeton de falsification de demande intersite (CSRF) et à un ID de session.

Il a écrit:

"La fourniture de tout type de données de session dans un fichier javascript valide permet généralement à des attaquants de les récupérer."

PayPal confirme la vulnérabilité de mot de passe

PayPal a admis que "des jetons sensibles et uniques étaient divulgués dans un fichier JS utilisé par la mise en œuvre de recaptcha." PayPal a noté que "les jetons exposés ont été utilisés dans la demande POST pour résoudre le CAPTCHA."

Les perspectives étaient de nombreuses tentatives de connexion infructueuses qui lancent le défi d'authentification reCAPTCHA. C'était en fait bien jusqu'à ce que vous réalisiez que, comme l'explique Birsan, «la réponse à la prochaine tentative d'authentification est une page ne contenant rien d'autre qu'un captcha Google. Si le captcha est résolu par l'utilisateur, une demande HTTP POST à ​​/ auth / validatecaptcha est lancée. »

PayPal a confirmé qu'un utilisateur devrait ensuite se rendre sur un autre site (malveillant) et entrer ses informations d'identification PayPal. L'attaquant pourrait alors terminer le défi de sécurité, qui a ensuite produit une relecture de demande d'authentification pour afficher le mot de passe. PayPal a expliqué que cette exposition ne se produisait que si un utilisateur suivait un lien de connexion à partir d'un site malveillant.

PayPal a corrigé une erreur en moins de 24 heures

Birsan a soumis sa preuve de concept de tout ce qu'il a trouvé à PayPal, via la plate-forme de prime aux bogues HackerOne, le 18 novembre 2019. L'abus a été confirmé par HackerOne après 18 jours. Dans les 24 heures, PayPal a corrigé la vulnérabilité.

HackerOne est une plateforme de primes aux bogues largement reconnue qui relie les pirates éthiques aux organisations qui leur versent de l'argent pour les vulnérabilités ou les erreurs trouvées dans leurs logiciels, services ou produits. Ces récompenses peuvent être vraiment rentables. Il existe un exemple de six pirates HackerOne gagnant chacun plus d'un million de dollars (764 000 £) grâce à la plateforme. Un autre pirate a même réussi à pirater la plate-forme HackerOne elle-même et a ainsi gagné 20 000 $ (15 250 £) (ce qui semble vraiment trop peu si vous nous le demandez).

Vous voulez une nouvelle Tesla? Hack it!

Birsan, d'autre part, n'a pas obtenu autant pour trouver la vulnérabilité de PayPal, mais c'est ce que c'est. Nous pensons que les récompenses pour ce type d'actes devraient être plus habilitantes et plus importantes alors qu'elles encourageraient les pirates éthiques à essayer encore plus de trouver d'éventuelles violations de la sécurité.

Tesla pourrait être un bon exemple. Quiconque peut pirater une voiture électrique Tesla Model 3 au concours de piratage Pwn2Own en mars pourrait ramasser 700 000 $ et une toute nouvelle Tesla Model 3. Et, si vous piratez l'iPhone, Pomme vous donne un prix de 1,5 million de dollars. Eh bien, ça ressemble plus à ça.

Teuta Franjkovic
Auteur: Teuta Franjkovic

Professionnel créatif expérimenté spécialisé dans l'analyse financière et politique, l'édition de quotidiens et de sites d'actualités, le journalisme économique et politique, le conseil, les relations publiques et le marketing. La passion de Teuta est de créer de nouvelles opportunités et de rassembler les gens.

l4i2g9



Traduction de l’article de Teuta Franjkovic : Article Original

Le Meilleur de l'Actualité Blockchain Francophone & Internationale | News, Guides, Avis & Tutoriels pour s'informer et démarrer facilement avec Bitcoin, les Crypto-Monnaies et le Blockchain. En Savoir Plus sur L'Équipe BlockBlog

Commenter cet Article

Commenter cet Article

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Plus dans News

Les Plus Populaires

Acheter des Bitcoin

Acheter des Alt-Coins

Sécuriser vos Cryptos

Vêtements et Produits Dérivés

Top