Für die Meldung einer Sicherheitsverletzung, die dazu führen könnte, dass ein Benutzerpasswort einem Hacker zugänglich gemacht wird, zahlte Paypal Alex Brisan, einem ethischen Hacker, eine Bug-Prämie von fünfzehntausenddreihundert Dollar (15.300 US-Dollar). Paypal gab offen zu, dass Brisan, ein Forscher, den Verstoß entdeckt und ihnen gemeldet hatte.
Brisan meldete den Verstoß am 8. Januar, PayPal hatte den Fehler jedoch bereits seit Dezember behoben, Brisan aber dennoch belohnt.
Ein ethischer Hacker, auch als White-Hat-Hacker bezeichnet, ist ein Informationssicherheitsexperte, der matic versucht, im Namen seiner Eigentümer – und mit deren Erlaubnis – in ein Computersystem, ein Netzwerk, eine Anwendung oder andere Computerressourcen einzudringen, um sie zu finden Sicherheitslücken, die ein böswilliger Hacker könnte.
Brisan schrieb in seiner öffentlichen Offenlegung, dass es sich bei dem, was passiert ist, um einen schwerwiegenden Fehler handelt, der eine der meistbesuchten Seiten von PayPal betrifft und sich auf das Anmeldeformular bezieht. Er entdeckte die Verletzung, als er den Hauptauthentifizierungsablauf bei PayPal untersuchte.
Die Schlupflöcher von PayPal
Laut Brisan wurde seine Aufmerksamkeit auf die Tatsache gelenkt, dass eine JavaScript-Datei (JS) etwas enthielt, das wie ein CSRF-Token (Cross-Site Request Forgery) und eine Sitzungs-ID aussah. Die Bereitstellung von Sitzungsdaten in einer gültigen Javascript-Datei, sagte Birsan, ermöglicht es normalerweise, dass sie von Angreifern abgerufen werden können.
Im gleichen Licht PayPal , dass sensible, eindeutige Token in einer JS-Datei durchgesickert sind, die von der ReCaptcha-Implementierung verwendet wird . Unter bestimmten Umständen mussten Benutzer nach der Authentifizierung eine CAPTCHA-Herausforderung lösen, und PayPal stellte fest, dass die exponierten Token in der POST-Anfrage verwendet wurden, um das CAPTCHA zu lösen.
PayPal bestätigte auch, dass ein Benutzer nach dem Lösen des Captchas zu einer anderen (bösartigen) Website gehen und seine PayPal-Anmeldeinformationen dent müsste. Dies würde es dem Hacker ermöglichen, die Sicherheitsabfrage abzuschließen, die dann eine Wiederholung der Authentifizierungsanforderung erzeugt, um das Passwort anzuzeigen.
PayPal erklärte weiter, dass die Gefährdung jedoch nur auftritt, wenn ein Benutzer einem Anmeldelink von einer bösartigen Website folgt.
Verbindungsplattform für ethische Hacker
Zur Förderung der Cybersicherheit hat eine Organisation, HackerOne , eine Plattform bereitgestellt, die ethische Hacker mit Organisationen verbindet, die Belohnungen für Schwachstellen zahlen, die in ihrer Software, ihren Diensten oder Produkten gefunden werden.
Berichten zufolge gelang es einem Hacker, die HackerOne- Plattform selbst zu hacken, und verdiente sich 20.000 US-Dollar.
Darüber hinaus gibt es Hacking-Wettbewerbe, bei denen ethische Hacker ermutigt werden, sich an der Suche nach möglichen Sicherheitsverletzungen zu beteiligen . Einer dieser Pwn2Own-Hacking-Wettbewerbe findet im März statt, bei dem jeder, der ein Tesla Model 3-Elektroauto hacken kann, 700.000 US-Dollar und ein brandneues Tesla-Modell abholen würde.
Apple hat außerdem bestätigt, dass jeder, der ein iPhone hackt, eine Belohnung von 1,5 Millionen US-Dollar erhält.
Vorgestelltes Bild von Pixabay
