Yasser Ali, een onafhankelijke onderzoeker, gemeld dat een kritieke bug in de preventie systeem voor cross-site request vervalsing maakte alle PayPal-rekening kwetsbaar voor hijacking. Het probleem is dat PayPal heeft herbruikbaar authenticatie tokens. Ze kunnen worden gebruikt door cybercriminelen om hun e-mails te koppelen aan de gekaapte PayPal-gebruikersaccount en krijgen volledige controle over het.
Authenticatie tokens
De onderzoeker, die heeft ontdekt de bug was ook in staat om een authenticatie token geldig voor de PayPal-rekeningen vastleggen. Hij ontdekte dat de token goed voor het verificatieproces van een verzoek van de gebruiker niet is aangepast voor een e-mailadres. Hierdoor kan de aanvaller om verschillende aanpassingen uit te voeren in het geval hij wordt geverifieerd.
Door het onderscheppen van een authenticatie token die geldig is voor alle gebruikers, de onderzoeker was ook in staat om te omzeilen de CSRF bescherming Authorization System van PayPal. Voor deze test, Hij gebruikte de Burp toolkit om de POST-aanvraag van een pagina die een token voordat de log-in proces omvat krijgen.
De onderzoeker gaf een voorbeeld van een pagina wordt gebruikt voor het verzenden van geld naar een andere PayPal-gebruiker. Samen met de e-mails van zowel de verzender als de ontvanger, de onderzoeker ging een nep wachtwoord. Op deze manier een token voor het verzoek om dat met name rekening oorlog gecreëerd.
Het wachtwoord
Later in zijn onderzoeksproces, Ali geprobeerd om nieuwe manieren om het wachtwoord van de beoogde account te wijzigen, zonder ingelogd te vinden. Dit is meestal onmogelijk als het juiste antwoord op de geheime vraag niet is voorzien. Om deze fase te bereiken, de aanvaller moet om in te loggen.
Maar, de gebruiker wordt gevraagd een beveiligingsvraag te stellen wanneer hij zich aanmeldt voor de PayPal-service, die niet wordt beschermd door een wachtwoord. En door in het bezit van de CSRF authenticatie token, de aanvaller kan de vraag veranderen en zorgen voor een ander antwoord.
De token valideert de volgende verzoeken:
- Het verwijderen, toevoegen en een e-mailadres te bevestigen
- Het factuuradres modificeren
- Het veranderen van de beveiligingsvraag
- De rekening configuratie veranderende
- Het veranderen van de betaalmethoden
De onderzoeker heeft de informatie op een discrete manier door de Bug Bounty programma bekendgemaakt. Momenteel, alle gebreken worden vastgesteld.