دفعت باي بال مكافأة قدرها 15300 دولار أمريكي (15,300 دولار) لأليكس بريسان، وهو هاكر أخلاقي، وذلك مقابل الإبلاغ عن ثغرة أمنية قد تؤدي إلى كشف كلمات مرور المستخدمين للمخترقين. وقد أقرت باي بال صراحةً بأن بريسان، وهو باحث، هو من اكتشف الثغرة وأبلغ عنها.
أبلغ بريسان عن الاختراق في 8 يناير، ومع ذلك، باي بال بإصلاح الخلل منذ ديسمبر، لكنها مع ذلك كافأت بريسان.
المخترق الأخلاقي، والذي يشار إليه أيضًا باسم مخترق القبعة البيضاء، هو خبير في أمن المعلومات يحاول بشكلmaticاختراق نظام كمبيوتر أو شبكة أو تطبيق أو موارد حوسبة أخرى نيابة عن مالكيها - وبإذنهم - للعثور على نقاط الضعف الأمنية التي يمكن أن يستغلها مخترق خبيث.
كتب بريسان في إفصاحه العلني أن ما حدث هو قصة خلل برمجي خطير أصاب إحدى أكثر صفحات باي بال زيارة، وتحديداً صفحة تسجيل الدخول. وقد اكتشف هذا الخلل أثناء استكشافه لعملية المصادقة الرئيسية في باي بال.
ثغرات باي بال
بحسب بريسان، لفت انتباهه احتواء ملف جافا سكريبت (JS) على ما يبدو أنه رمز تزوير طلبات عبر المواقع (CSRF) ومعرّف جلسة. وأوضح بريسان أن تضمين أي بيانات جلسة داخل ملف جافا سكريبت صالح يسمح عادةً للمهاجمين باسترجاعها.
وفي السياق نفسه، باي بال تسريب رموز مميزة حساسة وفريدة من نوعها في ملف جافا سكريبت يستخدمه تطبيق ريكابتشا . في بعض الحالات، كان على المستخدمين حلّ اختبار CAPTCHA بعد المصادقة، وأشارت باي بال إلى أن الرموز المسربة استُخدمت في طلب POST لحلّ اختبار CAPTCHA.
أكدت باي بال أيضًا أنه بعد حلّ اختبار التحقق (CAPTCHA)، سيحتاج المستخدم إلى الانتقال إلى موقع آخر (خبيث) وإدخال بياناتdentحسابه على باي بال. سيمكن هذا المخترق من إكمال عملية التحقق الأمني، والتي بدورها ستنتج طلب مصادقة لإعادة إرسال كلمة المرور.
وأوضحت باي بال كذلك أن التعرض للاختراق لا يحدث إلا إذا اتبع المستخدم رابط تسجيل دخول من موقع خبيث.
منصة تواصل للمخترقين الأخلاقيين
لتعزيز الأمن السيبراني، وفرت HackerOne .
وبحسب ما ورد تمكن أحد المخترقين من اختراق HackerOne نفسها وحصل على 20 ألف دولار.
إلى جانب ذلك، تُقام مسابقات اختراق تُشجع المخترقين الأخلاقيين على المشاركة في اكتشاف الثغرات الأمنية المحتملة . إحدى هذه المسابقات، Pwn2Own، تُقام في مارس، حيث يحصل الفائز الذي يتمكن من اختراق سيارة تسلا موديل 3 الكهربائية على جائزة قدرها 700 ألف دولار وسيارة تسلا جديدة.
كما أكدت شركة آبل أن أي شخص يقوم باختراق جهاز آيفون سيحصل على مكافأة قدرها 1.5 مليون دولار.
الصورة الرئيسية من موقع Pixabay
