Yasser Ali, un chercheur indépendant, a rapporté qu'un bug critique dans le système de prévention pour Cross-Site Request Forgery fait toute compte PayPal vulnérables aux détournements. Le problème est que PayPal a réutilisables jetons d'authentification. Ils peuvent être utilisés par les cybercriminels pour relier leurs e-mails sur le compte utilisateur PayPal détourné et prendre le contrôle complet sur elle.
Des jetons d'authentification
Le chercheur, qui a découvert le bug a également été en mesure de capturer un jeton d'authentification valide pour les comptes PayPal. Il a découvert que le jeton qui représente le processus d'authentification d'une demande d'utilisateur n'a pas été modifiée pour une adresse de courriel. Cela permet à l'attaquant d'effectuer différentes modifications au cas où il est authentifié.
En interceptant un jeton d'authentification valide pour tous les utilisateurs, le chercheur a également été en mesure de contourner le système de PayPal Autorisation protection CSRF. Pour ce test, il a utilisé la boîte à outils de Burp afin d'obtenir la requête POST à partir d'une page qui comprend un jeton avant le processus d'ouverture de session.
Le chercheur a fourni un exemple avec une page utilisée pour envoyer de l'argent à un autre utilisateur PayPal. Avec les e-mails de l'expéditeur et le destinataire, le chercheur entré un mot de passe faux. De cette façon, un jeton pour la demande de cette guerre de compte particulier créé.
Le mot de passe
Plus tard dans sa démarche de recherche, Ali a essayé de trouver de nouvelles façons de changer le mot de passe du compte ciblé sans être connecté. Ce est généralement impossible si la bonne réponse à la question de la sécurité ne est pas fourni. Afin de parvenir à ce stade, l'attaquant aurait besoin pour vous connecter.
Mais, l'utilisateur est invité à régler une question de sécurité quand il signe pour le service PayPal, qui ne est pas protégé par un mot de passe. Et en étant en possession de l'authentification par jeton CSRF, l'attaquant peut changer la question et de fournir une autre réponse.
Le jeton valide les demandes suivantes:
- Retrait, ajouter et confirmer une adresse e-mail
- Modification de l'adresse de facturation
- Modification de la question de sécurité
- Modification de la configuration du compte
- Modification des méthodes de paiement
Le chercheur a divulgué les renseignements de manière discrète à travers le programme Bug Bounty. En ce moment, tous les défauts sont fixés.
