Por informar una violación de seguridad que podría conducir a la exposición de la contraseña del usuario a un pirata informático, Paypal pagó a Alex Brisan, un pirata informático ético, una recompensa por error de quince mil trescientos dólares ($ 15,300). Paypal admitió abiertamente que Brisan, un investigador, descubrió la brecha y les informó.
Brisan informó sobre la infracción el 8 de enero; sin embargo, PayPal ya había solucionado el problema técnico desde diciembre, pero aun así recompensó a Brisan.
Un hacker ético, también conocido como hacker de sombrero blanco, es un experto en seguridad de la información que sistemáticamente matic penetrar en un sistema informático, red, aplicación u otros recursos informáticos en nombre de sus propietarios, y con su permiso, para encontrar vulnerabilidades de seguridad que un hacker malicioso podría.
Brisan escribió en su divulgación pública que lo que sucedió es la historia de un error de alta gravedad que afectó a una de las páginas más visitadas de PayPal en relación con el formulario de inicio de sesión. Descubrió la brecha mientras exploraba el flujo de autenticación principal en PayPal.
Las lagunas de PayPal
Según Brisan, le llamó la atención el hecho de que un archivo JavaScript (JS) contenía lo que parecía un token de falsificación de solicitud entre sitios (CSRF) y una ID de sesión. Proporcionar cualquier dato de sesión dentro de un archivo javascript válido, dijo Birsan, generalmente permite que los atacantes lo recuperen.
Del mismo modo, PayPal confirmó que se estaban filtrando tokens únicos y confidenciales en un archivo JS utilizado por la implementación de ReCaptcha . En determinadas circunstancias, los usuarios tenían que resolver un desafío de CAPTCHA después de la autenticación, y PayPal notó que los tokens expuestos se usaron en la solicitud POST para resolver el CAPTCHA.
PayPal también confirmó que después de resolver el captcha, un usuario tendría que ir a otro sitio (malicioso) e ingresar sus dent de PayPal. Esto permitiría al pirata informático completar el desafío de seguridad, que luego produjo una repetición de la solicitud de autenticación para mostrar la contraseña.
PayPal explicó además que, sin embargo, la exposición solo ocurrió si un usuario sigue un enlace de inicio de sesión desde un sitio malicioso..
Plataforma de conexión de hackers éticos
Para promover la ciberseguridad, una organización, HackerOne , ha proporcionado una plataforma que conecta a los piratas informáticos éticos con organizaciones que pagan recompensas por las vulnerabilidades que se encuentran en su software, servicios o productos..
Según los informes, un pirata informático logró piratear la HackerOne y ganó $ 20,000.
Fuera de esto, existen concursos de hacking donde se anima a los hackers éticos a participar en la búsqueda de posibles brechas de seguridad . Uno de estos concursos de piratería Pwn2Own se lleva a cabo en marzo, donde cualquiera que pueda piratear un automóvil eléctrico Tesla Model 3 obtendría $ 700,000 y un Tesla Model nuevo.
Apple también ha confirmado que cualquiera que piratee un iPhone recibirá una recompensa de 1,5 millones de dólares.
Imagen destacada por Pixabay