Per aver segnalato una violazione della sicurezza che avrebbe potuto portare all'esposizione della password utente a un hacker, PayPal ha pagato ad Alex Brisan, un hacker etico, una ricompensa di quindicimilatrecento dollari (15.300 dollari). PayPal ha ammesso apertamente che Brisan, un ricercatore, ha scoperto la violazione e l'ha segnalata.
Brisan ha segnalato la violazione l'8 gennaio, ma PayPal aveva già risolto il problema da dicembre, ma ha comunque ricompensato Brisan.
Un hacker etico, detto anche hacker white-hat, è un esperto di sicurezza informatica che tentamaticdi penetrare in un sistema informatico, in una rete, in un'applicazione o in altre risorse informatiche per conto dei suoi proprietari, e con il loro permesso, per trovare vulnerabilità di sicurezza che un hacker malintenzionato potrebbe sfruttare.
Brisan ha scritto nella sua dichiarazione pubblica che quanto accaduto è la storia di un bug di elevata gravità che ha colpito una delle pagine più visitate di PayPal, relativa al modulo di accesso. Ha scoperto la violazione mentre esplorava il flusso di autenticazione principale di PayPal.
Le scappatoie di PayPal
Secondo Brisan, la sua attenzione è stata attirata dal fatto che un file JavaScript (JS) conteneva quello che sembrava un token di falsificazione di richieste cross-site (CSRF) e un ID di sessione. Fornire dati di sessione all'interno di un file JavaScript valido, ha affermato Birsan, di solito consente agli aggressori di recuperarli.
Allo stesso modo, PayPal ha confermato che token sensibili e univoci venivano divulgati in un file JS utilizzato dall'implementazione di ReCaptcha . In determinate circostanze, gli utenti dovevano risolvere un CAPTCHA dopo l'autenticazione e PayPal ha notato che i token esposti venivano utilizzati nella richiesta POST per risolvere il CAPTCHA.
PayPal ha inoltre confermato che, dopo aver risolto il captcha, l'utente avrebbe dovuto accedere a un altro sito (dannoso) e inserire le propriedentPayPal. Ciò avrebbe consentito all'hacker di completare la verifica di sicurezza, che avrebbe poi generato una replica della richiesta di autenticazione per visualizzare la password.
PayPal ha inoltre spiegato che, tuttavia, l'esposizione si è verificata solo se un utente ha seguito un collegamento di accesso da un sito dannoso.
Piattaforma di collegamento degli hacker etici
Per promuovere la sicurezza informatica, un'organizzazione, HackerOne , ha fornito una piattaforma che mette in contatto gli hacker etici con le organizzazioni che pagano ricompense per le vulnerabilità trovate nei loro software, servizi o prodotti.
Secondo quanto riferito, un hacker è riuscito ad hackerare la HackerOne , guadagnando 20.000 dollari.
Oltre a questo, ci sono gare di hacking in cui gli hacker etici sono incoraggiati a partecipare per individuare possibili violazioni della sicurezza . Una di queste gare di hacking Pwn2Own si tiene a marzo: chiunque riesca a hackerare una Tesla Model 3 elettrica vince 700.000 dollari e una Tesla Model 3 nuova di zecca.
Apple ha anche confermato che chiunque hackeri un iPhone riceverà una ricompensa di 1,5 milioni di dollari.
Immagine in evidenza di Pixabay
