Falha descoberta na página de login do site poderia expor os endereços de e-mail e as senhas de um usuário
O pesquisador de segurança Alex Birsan ganhou US$ 15 mil do PayPal em seu programa de bug bounty por ter descoberto uma grave falha em seu sistema de login. A empresa confirmou que o bug em seu site poderia expor os endereços de e-mail e as senhas dos usuários. O PayPal concedeu a recompensa ao pesquisador por relatar a falha e pela sua gravidade.
Conforme Birsan descreveu em seu blog, a prova de conceito, juntamente com todas as informações relevantes, foi enviada ao programa de recompensas do PayPal em 18 de novembro de 2019 e foi validada pelo HackerOne 18 dias depois. “Após um rápido reconhecimento pela equipe do PayPal e algumas perguntas adicionais, recebi uma recompensa de US$ 15.300 em 10 de dezembro. O valor da recompensa corresponde à pontuação CVSS 8.0 (alta) do bug, que é a mesma pontuação que eu sugeri inicialmente ao enviar o relatório”.
Segundo o pesquisador, um patch foi aplicado cerca de 24 horas depois, o que significa que o bug foi corrigido apenas cinco dias depois que o PayPal tomou conhecimento – “um tempo de resposta impressionante”, disse Birsan.A vulnerabilidade existia no formulário de login do PayPal. Por isso, representava uma séria ameaça à integridade dos dados dos usuários. Segundo o pesquisador, ele encontrou um token CSRF e um ID de sessão no fluxo de autenticação principal do PayPal. Suas tentativas no teste o fizeram perceber a resiliência do sistema aos ataques clássicos de CSRF. No entanto, uma investigação mais aprofundada revelou um bug no security challenge do PayPal – um mecanismo de proteção contra ataques de força bruta. Em resumo, ele descobriu que o problema existia com o desafio reCAPTCHA implementado no formulário de login, que entra em ação após algumas tentativas falhas de login. “Percebi que, com o tempo correto e alguma interação do usuário, todos os tokens usados nesta solicitação eram suficientes para obter as credenciais do PayPal da vítima. Em um cenário de ataque da vida real, a única interação do usuário necessária seria uma única visita a uma página da Web controlada pelo invasor”, afirmou.