paypal-3.jpg

Bug no login do PayPal rende a pesquisador prêmio de US$ 15K

Paulo Brito
14/01/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Falha descoberta na página de login do site poderia expor os endereços de e-mail e as senhas de um usuário

O pesquisador de segurança Alex Birsan ganhou US$ 15 mil do PayPal em seu programa de bug bounty por ter descoberto uma grave falha em seu sistema de login. A empresa confirmou que o bug em seu site poderia expor os endereços de e-mail e as senhas dos usuários. O PayPal concedeu a recompensa ao pesquisador por relatar a falha e pela sua gravidade. 

Conforme Birsan descreveu em seu blog, a prova de conceito, juntamente com todas as informações relevantes, foi enviada ao programa de recompensas do PayPal em 18 de novembro de 2019 e foi validada pelo HackerOne 18 dias depois. “Após um rápido reconhecimento pela equipe do PayPal e algumas perguntas adicionais, recebi uma recompensa de US$ 15.300 em 10 de dezembro. O valor da recompensa corresponde à pontuação CVSS 8.0 (alta) do bug, que é a mesma pontuação que eu sugeri inicialmente ao enviar o relatório”.

Segundo o pesquisador, um patch foi aplicado cerca de 24 horas depois, o que significa que o bug foi corrigido apenas cinco dias depois que o PayPal tomou conhecimento – “um tempo de resposta impressionante”, disse Birsan.A vulnerabilidade existia no formulário de login do PayPal. Por isso, representava uma séria ameaça à integridade dos dados dos usuários. Segundo o pesquisador, ele encontrou um token CSRF e um ID de sessão no fluxo de autenticação principal do PayPal. Suas tentativas no teste o fizeram perceber a resiliência do sistema aos ataques clássicos de CSRF. No entanto, uma investigação mais aprofundada revelou um bug no security challenge do PayPal – um mecanismo de proteção contra ataques de força bruta. Em resumo, ele descobriu que o problema existia com o desafio reCAPTCHA implementado no formulário de login, que entra em ação após algumas tentativas falhas de login. “Percebi que, com o tempo correto e alguma interação do usuário, todos os tokens usados ​​nesta solicitação eram suficientes para obter as credenciais do PayPal da vítima. Em um cenário de ataque da vida real, a única interação do usuário necessária seria uma única visita a uma página da Web controlada pelo invasor”, afirmou.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest