للإبلاغ عن خرق أمني يمكن أن يؤدي إلى كشف كلمة مرور المستخدم لأحد المتسللين ، دفعت Paypal مبلغ 15 ألفًا وثلاثمائة دولار (15300 دولار أمريكي) لـ Alex Brisan ، وهو مخترق أخلاقي. اعترفت باي بال صراحة أن الباحث بريسان اكتشف الانتهاك وأبلغهم.
أبلغ Brisan عن الاختراق في 8 يناير ، ومع ذلك ، فإن PayPal قد أصلح بالفعل الخلل منذ ديسمبر ولكنه لا يزال يكافئ Brisan.
المتسلل الأخلاقي ، الذي يُشار إليه أيضًا باسم المتسلل ذو القبعة البيضاء ، هو خبير في أمن المعلومات يحاول matic نظاميًا اختراق نظام كمبيوتر أو شبكة أو تطبيق أو موارد حوسبة أخرى نيابة عن مالكيها - وبعد الحصول على إذنهم - للعثور على نقاط الضعف الأمنية التي يمكن أن يقوم بها متسلل ضار.
كتب بريسان في إفصاحه العام أن ما حدث هو قصة خطأ شديد الخطورة يؤثر على إحدى صفحات PayPal الأكثر زيارة والتي تشير إلى نموذج تسجيل الدخول. اكتشف الخرق أثناء استكشاف تدفق المصادقة الرئيسي في PayPal.
ثغرات PayPal
وفقًا لبريسان ، تم لفت انتباهه إلى حقيقة أن ملف JavaScript (JS) يحتوي على ما يشبه رمزًا مميزًا لتزوير طلب عبر الموقع (CSRF) ومعرف جلسة. قال بيرسان إن تقديم أي بيانات جلسة داخل ملف جافا سكريبت صالح يسمح عادة باسترجاعها من قبل المهاجمين.
في ضوء ذلك ، PayPal أنه تم تسريب الرموز المميزة الحساسة والفريدة في ملف JS المستخدم بواسطة تطبيق ReCaptcha . في ظروف معينة ، كان على المستخدمين حل تحدي CAPTCHA بعد المصادقة ، ولاحظ PayPal أنه تم استخدام الرموز المميزة المكشوفة في طلب POST لحل اختبار CAPTCHA.
أكد PayPal أيضًا أنه بعد حل اختبار captcha ، سيحتاج المستخدم بعد ذلك إلى الانتقال إلى موقع آخر (ضار) وإدخال dent PayPal الخاصة به. سيمكن هذا المتسلل من إكمال تحدي الأمان ، والذي ينتج بعد ذلك طلب مصادقة لإعادة عرض كلمة المرور.
أوضح PayPal كذلك أنه ، على الرغم من ذلك ، حدث التعرض فقط إذا اتبع المستخدم رابط تسجيل دخول من موقع ضار.
منصة اتصال المتسللين الأخلاقية
، قدمت منظمة HackerOne .
وبحسب ما ورد تمكن أحد المتسللين من اختراق HackerOne نفسها وكسب لنفسه 20 ألف دولار.
خارج هذا ، هناك مسابقات قرصنة حيث يتم تشجيع المتسللين الأخلاقيين على المشاركة في اكتشاف الخروقات الأمنية المحتملة . تقام إحدى مسابقات Pwn2Own للقرصنة في مارس ، حيث سيحصل أي شخص يمكنه اختراق سيارة كهربائية Tesla Model 3 على 700000 دولار وطراز Tesla جديد تمامًا.
أكدت Apple أيضًا أن أي شخص يخترق جهاز iPhone سيحصل على مكافأة قدرها 1.5 مليون دولار.
صورة مميزة بواسطة Pixabay
