Pour avoir signalé une faille de sécurité susceptible d'exposer les mots de passe d'utilisateurs à un pirate informatique, PayPal a versé à Alex Brisan, un hacker éthique, une prime de 15 300 dollars. PayPal a reconnu publiquement que Brisan, chercheur, avait découvert la faille et l'avait signalée.
Brisan a signalé la faille le 8 janvier, mais PayPal avait déjà corrigé le problème depuis décembre et a tout de même récompensé Brisan.
Un hacker éthique, également appelé hacker à chapeau blanc, est un expert en sécurité informatique qui tentematicde pénétrer un système informatique, un réseau, une application ou d'autres ressources informatiques pour le compte de ses propriétaires — et avec leur permission — afin de trouver des failles de sécurité qu'un hacker malveillant pourrait exploiter.
Dans sa déclaration publique, Brisan a expliqué qu'il s'agissait d'un bug critique affectant l'une des pages les plus visitées de PayPal, à savoir le formulaire de connexion. Il a découvert cette faille en explorant le flux d'authentification principal de PayPal.
Les failles de PayPal
Selon Brisan, son attention a été attirée par le fait qu'un fichier JavaScript (JS) contenait ce qui semblait être un jeton de falsification de requête intersite (CSRF) et un identifiant de session. D'après Brisan, la présence de données de session dans un fichier JavaScript valide permet généralement à des attaquants de les récupérer.
Dans le même ordre d'idées, PayPal a confirmé que des jetons sensibles et uniques étaient divulgués dans un fichier JS utilisé par l'implémentation de reCAPTCHA . Dans certains cas, les utilisateurs devaient résoudre un test CAPTCHA après authentification, et PayPal a constaté que les jetons exposés étaient utilisés dans la requête POST pour résoudre ce test.
PayPal a également confirmé qu'après avoir résolu le captcha, l'utilisateur devait se rendre sur un autre site (malveillant) et y saisir sesdentPayPal. Cela permettait au pirate de valider le test de sécurité, ce qui générait une réponse de requête d'authentification affichant le mot de passe.
PayPal a précisé en outre que, toutefois, l'exposition ne se produisait que si un utilisateur suivait un lien de connexion provenant d'un site malveillant.
Plateforme de mise en relation des hackers éthiques
Pour promouvoir la cybersécurité, l'organisation HackerOne a mis en place une plateforme qui met en relation des hackers éthiques avec des organisations qui récompensent la découverte de vulnérabilités dans leurs logiciels, services ou produits..
Un pirate informatique aurait réussi à pirater la HackerOne elle-même et aurait empoché 20 000 dollars.
En dehors de cela, il existe des compétitions de piratage informatique où les hackers éthiques sont encouragés à participer à la recherche de failles de sécurité potentielles . L'une de ces compétitions, Pwn2Own, se déroule en mars ; quiconque parviendra à pirater une Tesla Model 3 remportera 700 000 $ et une Tesla neuve.
Apple a également confirmé que toute personne qui pirate un iPhone recevra une récompense de 1,5 million de dollars.
Image mise en avant par Pixabay
