Per aver segnalato una violazione della sicurezza che avrebbe potuto portare all'esposizione della password dell'utente a un hacker, Paypal ha pagato ad Alex Brisan, un hacker etico, una ricompensa per bug di quindicimilatrecento dollari (15.300 dollari). Paypal ha ammesso apertamente che Brisan, un ricercatore, ha scoperto la violazione e l'ha segnalata.
Brisan ha segnalato la violazione l'8 gennaio, tuttavia PayPal aveva già risolto il problema da dicembre, ma ha comunque premiato Brisan.
Un hacker etico, detto anche white-hat hacker, è un esperto di sicurezza informatica che tenta matic di penetrare in un sistema informatico, in una rete, in un'applicazione o in altre risorse informatiche per conto dei suoi proprietari - e con il loro permesso - per trovare vulnerabilità della sicurezza che un hacker malintenzionato potrebbe.
Brisan ha scritto nella sua divulgazione pubblica che quello che è successo è la storia di un bug di elevata gravità che ha colpito una delle pagine più visitate di PayPal in riferimento al modulo di accesso. Ha scoperto la violazione mentre esplorava il flusso di autenticazione principale su PayPal.
Le scappatoie di PayPal
Secondo Brisan, la sua attenzione è stata attirata dal fatto che un file JavaScript (JS) conteneva quello che sembrava un token CSRF (cross-site request forgery) e un ID di sessione. Fornire dati di sessione all'interno di un file javascript valido, ha affermato Birsan, di solito consente agli aggressori di recuperarli.
Allo stesso modo, PayPal ha confermato che token sensibili e univoci venivano divulgati in un file JS utilizzato dall'implementazione ReCaptcha . In alcune circostanze, gli utenti dovevano risolvere una sfida CAPTCHA dopo l'autenticazione e PayPal ha notato che i token esposti venivano utilizzati nella richiesta POST per risolvere il CAPTCHA.
PayPal ha inoltre confermato che, dopo aver risolto il captcha, l'utente dovrà visitare un altro sito (dannoso) e inserire le proprie dent PayPal. Ciò consentirebbe all'hacker di completare la sfida di sicurezza, che poi produrrebbe una riproduzione della richiesta di autenticazione per mostrare la password.
PayPal ha inoltre spiegato che, tuttavia, l'esposizione si è verificata solo se un utente ha seguito un collegamento di accesso da un sito dannoso.
Piattaforma di connessione degli hacker etici
Per promuovere la sicurezza informatica, un'organizzazione, HackerOne , ha fornito una piattaforma che collega gli hacker etici con le organizzazioni che pagano ricompense per le vulnerabilità riscontrate nei loro software, servizi o prodotti.
Secondo quanto riferito, un hacker è riuscito a hackerare la HackerOne e ha guadagnato $ 20.000.
Oltre a ciò, esistono gare di hacking in cui gli hacker etici sono incoraggiati a partecipare per individuare possibili violazioni della sicurezza . Uno di questi concorsi di hacking Pwn2Own si tiene a marzo, dove chiunque riesca ad hackerare un'auto elettrica Tesla Model 3 vincerà $ 700.000 e un nuovissimo modello Tesla.
Apple ha inoltre confermato che chiunque hackererà un iPhone riceverà una ricompensa di 1,5 milioni di dollari.
Immagine in primo piano di Pixabay
