1. Ana Sayfa
  2. Kripto Para
  3. PayPal, Güvenlik Açığını Keşfeden Hacker’ı Ödüllendirdi

PayPal, Güvenlik Açığını Keşfeden Hacker’ı Ödüllendirdi

paypal-720x440_728x445
Abone Ol

PayPal’ın sorunun özetine göre, kullanıcılar kötü amaçlı bir siteden bir giriş bağlantısını izledikten sonra PayPal kimlik bilgilerini girdiyse, bilgisayar korsanları güvenlik sorununu kendi başlarına tamamlayabilir ve kullanıcıların şifrelerini alabilirlerdi.

PayPal , birisinin kullanıcı şifrelerinin bir bilgisayar korsanına maruz kalmasına yol açabilecek olası ciddi bir güvenlik ihlali keşfettiğini kabul etti. İhlali keşfeden Alex Birsan, sorunu bildirdiği için 15.300 $ değerinde bir hata ödülü kazandı. Güvenlik açığı 8 Ocak’ta açıklandı ve o zamandan beri onarıldı.

Birsan, kamuya açıklamasında, bunun, giriş formuna atıfta bulunarak, “muhtemelen PayPal’ın en çok ziyaret edilen sayfalarından birini etkileyen yüksek şiddetli bir hatanın hikayesi” olduğunu yazdı.

PayPal’daki ana kimlik doğrulama akışını keşfederken Birsan’ın dikkati, bir JavaScript (JS) dosyasının siteler arası istek sahtekarlığı (CSRF) jetonuna ve bir oturum kimliğine benzeyen bir şey içerdiği gerçeğine çekildi.

Şöyle yazdı :

“Geçerli bir javascript dosyası içinde her türlü oturum verisinin sağlanması genellikle saldırganlar tarafından alınmasına izin verir.”

PayPal Parola Güvenlik Açığı’nı Onayladı

PayPal, “hassas, benzersiz belirteçlerin recaptcha uygulaması tarafından kullanılan bir JS dosyasına sızdırıldığını” kabul etti. PayPal, “maruz kalan belirteçlerin CAPTCHA’yı çözmek için POST isteğinde kullanıldığını” belirtti.

Potansiyel müşteriler, reCAPTCHA kimlik doğrulama sorununu başlatan çok sayıda başarısız giriş denemesiydi. Birsan’ın açıkladığı gibi, “bir sonraki kimlik doğrulama girişimine verilen yanıtın Google captcha’sından başka bir şey içermeyen bir sayfa olduğunu anlayana kadar bu gerçekten iyiydi. Captcha kullanıcı tarafından çözülürse, / auth / validatecaptcha için bir HTTP POST isteği başlatılır. ”

PayPal, bir kullanıcının daha sonra başka bir (kötü amaçlı) siteye gitmesi ve PayPal kimlik bilgilerini girmesi gerektiğini doğruladı. Saldırgan daha sonra güvenlik sorununu tamamlayabilir ve ardından parolayı göstermek için bir kimlik doğrulama isteği yeniden yürütmesi üretebilir. PayPal, bu maruz kalmanın yalnızca bir kullanıcı kötü amaçlı bir siteden bir giriş bağlantısını izlemesi durumunda gerçekleştiğini açıkladı.

24 Saatten Az Bir Süre İçinde PayPal Sabit Hatası

Birsan, 18 Kasım 2019’da HackerOne hata ödül platformu aracılığıyla PayPal’a bulduğu her şeyle ilgili kavram kanıtını sundu. Kötüye kullanım 18 gün sonra HackerOne tarafından onaylandı. 24 saat içinde PayPal güvenlik açığından yararlandı.

HackerOne, etik hacker’ları, yazılımlarında, hizmetlerinde veya ürünlerinde bulunan yanlış güvenlik açıkları veya hatalar için onlara para ödeyen kuruluşlarla birleştiren yaygın olarak tanınan bir hata ödül platformudur. Bu ödüller gerçekten karlı olabilir. Platformdan her biri 1 milyon dolardan (764.000 £) fazla para kazanan altı HackerOne hacker örneği var. Başka bir hacker, HackerOne platformunun kendisini hacklemeyi bile başardı ve bunu yaparak 20.000 $ (15.250 £) kazandı.

Kaynak: Coinspeake

Yorum Yap