Yasser Ali, um pesquisador independente, relatou que um bug crítico no sistema de prevenção de falsificação de solicitações entre sites tornou todas as contas do PayPal vulneráveis a seqüestros. O problema é que o PayPal possui tokens de autenticação reutilizáveis. Eles podem ser usados por criminosos cibernéticos para vincular seus e-mails à conta de usuário do PayPal sequestrada e obter controle total sobre ela.
tokens de autenticação
O pesquisador, quem descobriu o bug também foi capaz de capturar um token de autenticação válido para as contas do PayPal. Ele descobriu que a contabilidade do token para o processo de autenticação de qualquer solicitação do usuário não foi modificada para um endereço de e-mail. Isso permite que o invasor execute diferentes modificações caso seja autenticado.
Ao interceptar um token de autenticação válido para todos os usuários, o pesquisador também foi capaz de contornar o Sistema de Autorização de Proteção CSRF do PayPal. Para este teste, ele usou o kit de ferramentas Burp para obter a solicitação POST de uma página que inclui um token antes do processo de login.
O pesquisador deu um exemplo com uma página usada para enviar dinheiro a outro usuário do PayPal. Junto com os e-mails do remetente e do destinatário, o pesquisador digitou uma senha falsa. Desta forma, um token para a solicitação dessa guerra de conta em particular criada.
A senha
Mais tarde em seu processo de pesquisa, Ali tentou encontrar novas maneiras de alterar a senha da conta de destino sem estar conectado. Isso geralmente é impossível se a resposta certa para a pergunta de segurança não for fornecida. Para chegar a este estágio, o invasor precisaria fazer login.
Mas, o usuário é solicitado a definir uma pergunta de segurança quando se inscreve no serviço PayPal, que não é protegido por senha. E por estar de posse do token de autenticação CSRF, o invasor pode mudar a pergunta e fornecer outra resposta.
O token valida as seguintes solicitações:
- remoção, adicionando e confirmando um endereço de e-mail
- Modificando o endereço de cobrança
- Mudando a pergunta de segurança
- Alterar a configuração da conta
- Alteração dos métodos de pagamento
O pesquisador divulgou as informações de forma discreta por meio do programa Bug Bounty. No momento, todas as falhas foram corrigidas.
