Yasser Ali, un ricercatore indipendente, ha riferito che un bug critico nel sistema di prevenzione per il Cross-site request forgery reso conto PayPal vulnerabili alla dirottamento. Il problema è che PayPal ha i token di autenticazione riutilizzabili. Essi possono essere utilizzati dai criminali informatici per collegare i loro messaggi di posta elettronica per l'account utente PayPal dirottato e ottenere il controllo completo su di esso.
Token di autenticazione
Il ricercatore, che ha scoperto il bug è stato anche in grado di catturare un token di autenticazione valido per i conti PayPal. Ha scoperto che il token che rappresentano il processo di autenticazione di ogni richiesta dell'utente non è stato modificato per un indirizzo email. Questo consente al malintenzionato di eseguire diverse modifiche nel caso in cui viene autenticato.
Per intercettare un token di autenticazione che è valido per tutti gli utenti, il ricercatore è stato anche in grado di bypassare il sistema di protezione di autorizzazione CSRF di PayPal. Per questo test, ha usato il toolkit Burp al fine di ottenere la richiesta POST da una pagina che include un token prima il processo di log-in.
Il ricercatore ha fornito un esempio di una pagina utilizzata per l'invio di denaro a un altro utente PayPal. Insieme con le e-mail del mittente e del destinatario, il ricercatore immette una password falsa. In questo modo un token per la richiesta di quel particolare la guerra conto creato.
La password
Più avanti nel suo processo di ricerca, Ali ha cercato di trovare nuovi modi per cambiare la password dell'account di mira senza essere collegati. Questo di solito è impossibile se la risposta giusta alla domanda di sicurezza non è previsto. Per raggiungere questo stadio, l'utente malintenzionato deve effettuare il login.
Ma, l'utente è invitato a impostare una domanda di sicurezza, quando si iscrive al servizio di PayPal, che non è protetto da una password. E essendo in possesso del token di autenticazione CSRF, l'attaccante può cambiare la domanda e fornire un'altra risposta.
Il token convalida le seguenti richieste:
- Rimozione, aggiungere e confermare un indirizzo e-mail
- Modificare l'indirizzo di fatturazione
- Modifica della domanda di sicurezza
- Modifica della configurazione dell'account
- Modifica delle modalità di pagamento
Il ricercatore ha rivelato le informazioni in modo discreto attraverso il programma Bug Bounty. Al momento, tutti i difetti sono fissi.
