Für die Meldung einer Sicherheitslücke, die zur Offenlegung von Benutzerpasswörtern in den Händen von Hackern hätte führen können, zahlte PayPal dem ethischen Hacker Alex Brisan eine Bug-Bounty-Prämie von 15.300 US-Dollar. PayPal gab offen zu, dass Brisan, ein Forscher, die Sicherheitslücke entdeckt und gemeldet hatte.
Brisan meldete den Sicherheitsverstoß am 8. Januar, PayPal hatte den Fehler jedoch bereits im Dezember behoben, belohnte Brisan aber trotzdem.
Ein ethischer Hacker, auch White-Hat-Hacker genannt, ist ein Experte für Informationssicherheit, dermaticversucht, im Auftrag der Eigentümer – und mit deren Erlaubnis – in ein Computersystem, Netzwerk, eine Anwendung oder andere Computerressourcen einzudringen, um Sicherheitslücken zu finden, die ein böswilliger Hacker ausnutzen könnte.
Brisan schrieb in seiner öffentlichen Erklärung, dass es sich um einen schwerwiegenden Fehler auf einer der meistbesuchten Seiten von PayPal handelte, genauer gesagt auf dem Anmeldeformular. Er entdeckte die Sicherheitslücke bei der Untersuchung des zentralen Authentifizierungsprozesses von PayPal.
PayPals Schlupflöcher
Laut Brisan fiel ihm auf, dass eine JavaScript-Datei (JS) ein mutmaßliches CSRF-Token (Cross-Site Request Forgery) und eine Sitzungs-ID enthielt. Brisan erklärte, dass die Bereitstellung von Sitzungsdaten in einer gültigen JavaScript-Datei es Angreifern in der Regel ermöglicht, diese abzurufen.
In diesem Zusammenhang PayPal , dass sensible, eindeutige Token in einer von der ReCaptcha-Implementierung verwendeten JavaScript-Datei offengelegt wurden . Unter bestimmten Umständen mussten Nutzer nach der Authentifizierung eine CAPTCHA-Aufgabe lösen. PayPal stellte fest, dass die offengelegten Token in der POST-Anfrage zur Lösung des CAPTCHA verwendet wurden.
PayPal bestätigte außerdem, dass ein Nutzer nach dem Lösen des Captchas eine andere (manipulierte) Website aufrufen und dort seine PayPal-denteingeben müsste. Dadurch könnte der Hacker die Sicherheitsabfrage abschließen, was wiederum eine erneute Authentifizierungsanfrage auslöst, um das Passwort anzuzeigen.
PayPal erklärte weiter, dass die Gefährdung jedoch nur dann eintrete, wenn ein Nutzer einem Anmeldelink von einer bösartigen Website folge.
Vernetzungsplattform für ethische Hacker
Zur Förderung der Cybersicherheit hat die Organisation HackerOne eine Plattform bereitgestellt, die ethische Hacker mit Organisationen verbindet, die Belohnungen für das Aufdecken von Schwachstellen in ihrer Software, ihren Diensten oder Produkten zahlen..
Einem Hacker gelang es angeblich, die HackerOne -Plattform selbst zu hacken und sich damit 20.000 Dollar zu verdienen.
Darüber hinaus gibt es Hacking-Wettbewerbe, bei denen ethische Hacker dazu aufgerufen werden, mögliche Sicherheitslücken aufzudecken . Einer dieser Wettbewerbe, Pwn2Own, findet im März statt. Wer es schafft, ein Tesla Model 3 Elektroauto zu hacken, gewinnt 700.000 US-Dollar und ein brandneues Tesla Model 3.
Apple hat außerdem bestätigt, dass jeder, der ein iPhone hackt, eine Belohnung von 1,5 Millionen Dollar erhält.
Titelbild von Pixabay
