Paypalは、ハッカーによるユーザーパスワードの漏洩につながる可能性のあるセキュリティ侵害を報告した功績に対し、倫理的なハッカーであるアレックス・ブリサン氏に1万5300ドル(約15,300ドル)のバグ報奨金を支払いました。Paypalは、研究者であるブリサン氏がこの侵害を発見し、報告したことを公に認めています。
ブリサン氏は1月8日に侵害を報告したが、 PayPalは12月からすでにこの問題を修正していたにもかかわらず、ブリサン氏に報酬を支払った。
倫理的なハッカーは、ホワイトハットハッカーとも呼ばれ、matic専門家です。
ブリサン氏は公開情報の中で、PayPalで最もアクセス数の多いページの1つであるログインフォームに深刻なバグが発生したと説明しました。彼はPayPalの主要な認証フローを調査している際に、この侵害を発見しました。
PayPalの抜け穴
ブリサン氏によると、JavaScript(JS)ファイルにクロスサイトリクエストフォージェリ(CSRF)トークンとセッションIDのようなものが含まれていたことに注目したという。有効なJavaScriptファイル内にセッションデータを提供すると、通常、攻撃者がそのデータを取得できるようになるとブリサン氏は述べた。
同様に、 PayPalは、ReCaptcha実装で使用されるJSファイルから、機密性の高い固有トークンが漏洩していることを確認しました。特定の状況下では、ユーザーは認証後にCAPTCHAチャレンジを解く必要があり、PayPalは、漏洩したトークンがCAPTCHAを解くためのPOSTリクエストで使用されていたことを指摘しました。
PayPalはまた、ユーザーがキャプチャを解読した後、別の(悪意のある)サイトにアクセスしてPayPalのdent情報を入力する必要があることを確認しました。これにより、ハッカーはセキュリティチャレンジを完了し、パスワードを表示するための認証リクエストのリプレイを生成することができました。
PayPalはさらに、ユーザーが悪質なサイトからのログインリンクをたどった場合にのみ漏洩が発生したと説明した。.
倫理的なハッカーのつながりプラットフォーム
サイバーセキュリティを促進するために、 HackerOne、倫理的なハッカーと、ソフトウェア、サービス、または製品に見つかった脆弱性に対して報酬を支払う組織を結びつけるプラットフォームを提供しています。.
HackerOneをハッキングし、2万ドルを獲得したと報じられている。
これ以外にも、倫理的なハッカーが参加してセキュリティ侵害の可能性を探るハッキングコンテストが開催されています。3月にはPwn2Ownハッキングコンテストが開催され、テスラ・モデル3電気自動車をハッキングした人には70万ドルと最新のテスラモデルが贈られます。
Appleはまた、iPhoneをハッキングした人には150万ドルの報奨金が支払われることも発表した。
Pixabayによる注目の画像
