사용자 비밀번호가 해커에게 노출될 수 있는 보안 침해를 신고한 윤리적 해커 알렉스 브리산에게 페이팔은 1만 5천 300달러의 버그 바운티를 지급했습니다. 페이팔은 연구원인 브리산이 해당 침해를 발견하고 보고했다는 사실을 공개적으로 인정했습니다.
브리산은 1월 8일에 해당 정보 유출 사실을 신고했지만, 페이팔은 이미 12월에 그 오류를 수정했음에도 불구하고 브리산에게 보상을 지급했습니다.
윤리적 해커(화이트햇 해커라고도 함)는 정보 보안 전문가로서, 소유자의 허가를 받아 컴퓨터 시스템, 네트워크, 애플리케이션 또는 기타 컴퓨팅 리소스에matic으로 침투하여 악의적인 해커가 악용할 수 있는 보안 취약점을 찾아내는 역할을 합니다.
브리산은 공개 성명에서 이번 사건은 페이팔에서 가장 많이 방문하는 페이지 중 하나인 로그인 양식에 영향을 미치는 심각한 버그에 관한 것이라고 밝혔습니다 . 그는 페이팔의 주요 인증 흐름을 조사하던 중 이 침해 사실을 발견했습니다.
페이팔의 허점
브리산에 따르면, 그는 자바스크립트(JS) 파일에 교차 사이트 요청 위조(CSRF) 토큰과 세션 ID로 보이는 내용이 포함되어 있다는 사실에 주목했습니다. 브리산은 유효한 자바스크립트 파일 내에 세션 데이터를 제공하면 공격자가 해당 데이터를 탈취할 수 있다고 말했습니다.
이와 관련하여 PayPal은 ReCaptcha 구현에 사용되는 JavaScript 파일에서 민감한 고유 토큰이 유출되고 있음을 확인했습니다 . 특정 상황에서 사용자는 인증 후 CAPTCHA 문제를 풀어야 했는데, PayPal은 유출된 토큰이 CAPTCHA를 풀기 위한 POST 요청에 사용되었다고 지적했습니다.
페이팔은 캡차를 해결한 후에도 사용자가 다른 (악성) 사이트로 이동하여 페이팔 계정dent를 입력해야 한다는 사실을 확인했습니다. 이렇게 하면 해커가 보안 인증을 완료하고 비밀번호를 보여주는 인증 요청 응답을 생성할 수 있습니다.
페이팔은 또한 이러한 노출은 사용자가 악성 사이트의 로그인 링크를 클릭했을 경우에만 발생한다고 설명했습니다.
윤리적 해커들을 위한 연결 플랫폼
HackerOne 이라는 단체는 윤리적 해커와 소프트웨어, 서비스 또는 제품에서 발견된 취약점에 대해 보상을 지급하는 기업을 연결하는 플랫폼을 제공하고 있습니다..
HackerOne 해킹하여 2만 달러를 벌어들였다고 합니다.
이 밖에도 윤리적 해커들이 보안 취약점을 찾아내는 데 참여하도록 장려하는 해킹 대회가 있습니다 . 그중 하나인 Pwn2Own 해킹 대회는 3월에 열리는데, 테슬라 모델 3 전기차를 해킹하는 데 성공한 사람에게는 70만 달러의 상금과 새 테슬라 모델 3가 상품으로 주어집니다.
애플은 아이폰을 해킹하는 사람에게 150만 달러의 보상금을 지급할 것이라고 밝혔습니다.
대표 이미지: 픽사
