ヤセル・アリ, 独立した研究者, クロスサイトリクエストフォージェリの防止システムの重大なバグにより、すべてのPayPalアカウントがハイジャックに対して脆弱になったと報告されました. 問題は、PayPalに再利用可能な認証トークンがあることです. サイバー犯罪者は、これらを使用して、電子メールをハイジャックされたPayPalユーザーアカウントにリンクし、完全に制御することができます。.
認証トークン
研究者, バグを発見した人は、PayPalアカウントに有効な認証トークンをキャプチャすることもできました. 彼は、ユーザー要求の認証プロセスを説明するトークンが電子メールアドレス用に変更されていないことを発見しました。. これにより、攻撃者は認証された場合にさまざまな変更を行うことができます.
すべてのユーザーに有効な認証トークンを傍受する, 研究者はPayPalのCSRF保護承認システムをバイパスすることもできました. このテストでは, 彼は、ログインプロセスの前にトークンを含むページからPOSTリクエストを取得するために、Burpツールキットを使用しました.
研究者は、別のPayPalユーザーに送金するために使用されるページの例を提供しました. 送信者と受信者の両方のメールと一緒に, 研究者は偽のパスワードを入力しました. このようにして、その特定のアカウント戦争のリクエストのトークンが作成されました.
パスワード
彼の研究プロセスの後半, Aliは、ログインせずにターゲットアカウントのパスワードを変更する新しい方法を見つけようとしました. セキュリティの質問に対する正しい答えが提供されていない場合、これは通常不可能です. この段階に到達するために, 攻撃者はログインする必要があります.
しかし, ユーザーは、PayPalサービスにサインアップするときに、セキュリティの質問を設定するように求められます, パスワードで保護されていない. そして、CSRF認証トークンを所有することによって, 攻撃者は質問を変更して別の回答を提供できます.
トークンは次のリクエストを検証します:
- 削除, メールアドレスの追加と確認
- 請求先住所の変更
- セキュリティの質問を変更する
- アカウント構成の変更
- お支払い方法の変更
研究者は、バグバウンティプログラムを通じて個別の方法で情報を開示しました. この時点で, すべての欠陥が修正されました.
