Yasser Ali, un investigador independiente, informó que un error crítico en el sistema de prevención de cross-site solicitud falsificación hizo toda cuenta PayPal vulnerables al secuestro. El problema es que PayPal tiene reutilizables tokens de autenticación. Pueden ser utilizados por los ciberdelincuentes para vincular sus mensajes de correo electrónico a la cuenta de usuario de PayPal secuestrado y hacerse con el control total sobre él.
Tokens de autenticación
El investigador, que ha descubierto el error también fue capaz de capturar un token de autenticación válida para las cuentas de PayPal. Descubrió que el token que representa el proceso de autenticación de cualquier solicitud del usuario no se ha modificado para obtener una dirección de correo electrónico. Esto permite al atacante realizar diversas modificaciones en caso de que se autentica.
Al interceptar un token de autenticación que es válido para todos los usuarios, el investigador también fue capaz de pasar por alto el Sistema de Autorización de Protección CSRF de PayPal. Para esta prueba, él utilizó el kit de herramientas Burp con el fin de obtener la solicitud POST de una página que incluye una ficha antes del proceso de inicio de sesión.
El investigador proporciona un ejemplo con una página utilizada para el envío de dinero a otro usuario de PayPal. Junto con los mensajes de correo electrónico de remitente y el destinatario, el investigador introduce una contraseña falsa. De esta manera una ficha para la solicitud de que la guerra de cuenta en particular creado.
La Contraseña
Más adelante en su proceso de investigación, Ali trató de encontrar nuevas maneras de cambiar la contraseña de la cuenta específica sin tener que entrar en. Esto suele ser imposible si no se proporciona la respuesta correcta a la pregunta de seguridad. Para llegar a esta etapa, el atacante tendría que iniciar sesión en.
Pero, se le pide al usuario establecer una pregunta de seguridad cuando se registra para el servicio de PayPal, que no está protegida por una contraseña. Y por estar en posesión del token de autenticación CSRF, el atacante puede cambiar la pregunta y dar otra respuesta.
El token valida las siguientes solicitudes:
- Extracción, añadir y confirmar una dirección de correo electrónico
- Modificación de la dirección de facturación
- Cambiar la pregunta de seguridad
- Cambio de la configuración de la cuenta
- El cambio de los métodos de pago
La investigadora ha dado a conocer la información de manera discreta a través del programa de recompensas de errores. En el momento, todos los defectos son fijos.
