پی پال تایید کرده است که یک محقق آسیب پذیری بسیار مهم امنیتی را که می توانست باعث لو رفتن پسورد کاربر شود، کشف کرده است. این محقق، الکس بیرسان، جایزه 15,300 دلاری را برای گزارش کردن این مشکل دریافت کرده است. این مشکل در 8 ژانویه توسط پی پال اعلام اما 11 دسامبر سال 2019 برطرف شد.
هکر ها با بررسی فرم ورود می توانستند متوجه این مشکل شوند
آقای بیرسان در رابطه با این آسیب پذیری در فرم ورود پی پال توضیح داده است.
او این آسیب پذیری بسیار مهم را زمانی کشف کرده که در حال بررسی روند اعتبارسنجی پی پال بوده است.توجه او به این موضوع جلب شد که یک فایل جاوا اسکریپت (JS) دارای بخشی بود که به نظر توکن CSRF و Session ID است.
ارائه هر نوع داده مربوط به Session در داخل یک فایل معتبر جاوا اسکریپ معمولا امکان دریافت را برای هکر فراهم می کند
الکس بیرسان
پی پال این آسیب پذیری جدی را تایید کرده است
پی پال تایید کرده است که “توکن های منحصربفرد و حساس در یک فایل JS که توسط ریکپچا مورد استفاده بوده درز می کرده است”. در شرایطی خاص، کاربران می بایست پس از اعتبارسنجی چالش ریکپچا را حل کنند و پی پال گفته که “توکن های لو رفته در درخواست POST برای حل کردن ریکپچا ارسال می شده است”.
منظور از شرایط خاص زمانی است که کاربر با چند بار اشتباه وارد کردن مشخصات ورود به حساب خود، با یک کپچا روبرو می شود؛ این به خودی خود چیز خوبی است. اما آقای بیرکسان توضیح می دهد که پاسخی که در نتیجه تلاش بعدی برای اعتبارسنجی برگشت داده می شود یک صفحه ای است که چیزی جز کپچای گوگل در آن نیست. اگر کپچا توسط کاربر حل شود، یک درخواست HTTP POST به /auth/validatecaptcha ارسال می شود.
یک حمله پیشرفته مورد نیاز است
روشی که در این گزارش مطرح شده چیزی نیست که به این سادگی ها منجر به هک شدن پی پال شود اما هکر هایی هستند که اگر بدانند ارزشش را دارد بدشان نمی آید که یک حمله پیشرفته را برای استفاده از این آسیب پذیری ترتیب دهند.
پی پال تایید کرده که کاربر می بایست در یک وبسایت مخرب اطلاعات ورود به حساب پی پال خود را وارد کند. سپس هکر می تواند چالش های امنیتی را رد کند.
همانطور که آقای بیرسان گفت، در دنیای واقعی حملات مهندسی شده تنها کاری که کاربر باید انجام دهد بازدید از یک صفحه وب می باشد که هکر برای آن کاربر ترتیب داده است.
پی پال این آسیب پذیری را رفع کرده است
آقای 18 نوامبر 2018 اثبات تمامی حرف هایش را از طریق پلتفرم پاداش در ازای کشف باگ HackerOne به پی پال فرستاد؛ 18 روز بعد این نفوذپذیری توسط پلتفرم HackerOne به تایید رسید و بیرسان پاداش خود را در 10 دسامبر دریافت کرد.
این آسیب پذیری سپس ظرف مدت 24 ساعت توسط پی پال برطرف شد.
پی پال گفت که “کنترل های بیشتر بر روی درخواست چالش امنیتی برای جلوگیری از استفاده دوباره از توکن اعمال کرده که مشکل حل شد و هیچ شواهدی مبنی بر سو استفاده از آن پیدا نشد.”
جدای از این آسیب پذیری که حالا هم رفع شده، کاربران می بایست برای جلوگیری از کلاهبرداری های رایج از نکات امنیتی پی پال پیروی کنند. منظور از کلاهبرداری های رایج آن دسته از حملاتی است که به واسطه فریب کاربران و نه وجود اشکالی خود پلتفرم پی پال، صورت می گیرد. برای جلوگیری از این نوع کلاهبرداری ها یکی از راهکار ها فعالسازی ورود دو مرحله ای پی پال است.
هک کردن برای پول و پاداش
HackerOne پلتفرم باگ بانتی یا دریافت پاداش در ازای گزارش باگ است که هکر های قانونی را با سازمان هایی که برای آسیب پذیری هایی که در نرم افزار هایشان، سرویس هایشان و محصولاتشان کشف می شود، پاداش می دهند، مرتبط می کند. این پاداش ها می تواند بسیار جذاب باشد؛ مثلا همین چند وقت پیش حدود 6 هک در این پلتفرم توانستند هر کدام بیش از یک میلیون دلار بدست بیاورند. حتی یک هکر تلاش کرد تا خود همین پلتفرم را هک کند که در ازای آن 20,000 دلار پاداش دریافت کرد. اگر چه آقای بیرسان نسبت به آسیب پذیری مهمی که در پلتفرم پی پال پیدا کرد، پاداش خوبی دریافت نکرد ولی روی هم رفته مبلغ قابل توجهی است.
برای آگاهی از آخرین نوشته ها، خبر ها و تحلیل های کوتاه به کانال تلگرام پی98 بپیوندید.
