Pour avoir signalé une faille de sécurité pouvant conduire à l'exposition du mot de passe de l'utilisateur à un pirate informatique, Paypal a versé à Alex Brisan, un pirate informatique éthique, une prime de bogue de quinze mille trois cents dollars (15 300 $). Paypal a ouvertement admis que Brisan, un chercheur, avait découvert la violation et leur avait signalé.
Brisan a signalé la violation le 8 janvier, cependant, PayPal avait déjà corrigé le problème depuis décembre mais a tout de même récompensé Brisan.
Un pirate éthique, également appelé pirate informatique, est un expert en sécurité de l'information qui tente matic de pénétrer dans un système informatique, un réseau, une application ou d'autres ressources informatiques au nom de ses propriétaires - et avec leur permission - pour trouver vulnérabilités de sécurité qu'un pirate informatique malveillant pourrait.
Brisan a écrit dans sa divulgation publique que ce qui s'est passé est l'histoire d'un bogue de haute gravité affectant l'une des pages les plus visitées de PayPal faisant référence au formulaire de connexion. Il a découvert la faille en explorant le principal flux d'authentification chez PayPal.
Les failles de PayPal
Selon Brisan, son attention a été attirée sur le fait qu'un fichier JavaScript (JS) contenait ce qui ressemblait à un jeton CSRF (cross-site request forgery) et à un identifiant de session. Fournir toutes les données de session dans un fichier javascript valide, a déclaré Birsan, permet généralement de les récupérer par des attaquants.
Dans le même ordre d'idées, PayPal a confirmé que des jetons uniques et sensibles étaient divulgués dans un fichier JS utilisé par l'implémentation de ReCaptcha . Dans certaines circonstances, les utilisateurs devaient résoudre un défi CAPTCHA après s'être authentifiés, et PayPal a noté que les jetons exposés étaient utilisés dans la requête POST pour résoudre le CAPTCHA.
PayPal a également confirmé qu'après avoir résolu le captcha, un utilisateur devrait alors se rendre sur un autre site (malveillant) et saisir ses dent PayPal. Cela permettrait au pirate de compléter le défi de sécurité, qui a ensuite produit une relecture de demande d'authentification pour afficher le mot de passe.
PayPal a en outre expliqué que, cependant, l'exposition ne se produisait que si un utilisateur suivait un lien de connexion à partir d'un site malveillant.
Plateforme de mise en relation des hackers éthiques
Pour promouvoir la cybersécurité, une organisation, HackerOne , a fourni une plate-forme qui relie les pirates éthiques aux organisations qui paient des récompenses pour les vulnérabilités trouvées dans leurs logiciels, services ou produits..
Un pirate aurait réussi à pirater la HackerOne elle-même et aurait gagné 20 000 $.
En dehors de cela, il existe des compétitions de piratage où les pirates éthiques sont encouragés à participer à la recherche d'éventuelles failles de sécurité . L'un de ces concours de piratage Pwn2Own se tient en mars, où quiconque peut pirater une voiture électrique Tesla Model 3 remporterait 700 000 $ et un tout nouveau modèle Tesla.
Apple a également confirmé que quiconque pirate un iPhone recevra une récompense de 1,5 million de dollars.
Image sélectionnée par Pixabay
