Por relatar uma violação de segurança que poderia levar à exposição da senha do usuário a um hacker, o Paypal pagou a Alex Brisan, um hacker ético, uma recompensa por bug de quinze mil e trezentos dólares (US$ 15.300). O Paypal admitiu abertamente que Brisan, um pesquisador, descobriu a violação e relatou a eles.
Brisan relatou a violação em 8 de janeiro, no entanto, o PayPal já havia corrigido a falha desde dezembro, mas ainda assim recompensou Brisan.
Um hacker ético, também conhecido como hacker de chapéu branco, é um especialista em segurança da informação que tenta matic penetrar em um sistema de computador, rede, aplicativo ou outros recursos de computação em nome de seus proprietários — e com sua permissão — para encontrar vulnerabilidades de segurança que um hacker malicioso poderia.
Brisan escreveu em sua divulgação pública que o que aconteceu foi a história de um bug de alta gravidade que afetou uma das páginas mais visitadas do PayPal referente ao formulário de login. Ele descobriu a violação enquanto explorava o principal fluxo de autenticação do PayPal.
As brechas do PayPal
De acordo com Brisan, sua atenção foi chamada para o fato de que um arquivo JavaScript (JS) continha o que parecia ser um token de falsificação de solicitação entre sites (CSRF) e um ID de sessão. Fornecer quaisquer dados de sessão dentro de um arquivo javascript válido, disse Birsan, geralmente permite que eles sejam recuperados por invasores.
Da mesma forma, o PayPal confirmou que tokens confidenciais e exclusivos estavam vazando em um arquivo JS usado pela implementação do ReCaptcha . Em certas circunstâncias, os usuários tiveram que resolver um desafio CAPTCHA após a autenticação, e o PayPal observou que os tokens expostos foram usados na solicitação POST para resolver o CAPTCHA.
O PayPal também confirmou que, depois de resolver o captcha, o usuário precisaria ir para outro site (malicioso) e inserir suas dent do PayPal. Isso permitiria ao hacker completar o desafio de segurança, que então produziria uma repetição da solicitação de autenticação para mostrar a senha.
O PayPal explicou ainda que, no entanto, a exposição só ocorreu se um usuário seguisse um link de login de um site malicioso.
Plataforma de conexão de hackers éticos
Para promover a segurança cibernética, uma organização, HackerOne , forneceu uma plataforma que conecta hackers éticos a organizações que pagam recompensas por vulnerabilidades encontradas em seus softwares, serviços ou produtos..
Um hacker supostamente conseguiu hackear a HackerOne e ganhou US$ 20.000.
Fora disso, existem competições de hackers onde hackers éticos são incentivados a participar na descoberta de possíveis falhas de segurança . Uma dessas competições de hacking Pwn2Own acontece em março, onde qualquer pessoa que conseguir hackear um carro elétrico Tesla Modelo 3 ganharia US$ 700.000 e um modelo Tesla novo.
A Apple também confirmou que qualquer pessoa que hackear um iPhone receberá uma recompensa de US$ 1,5 milhão.
Imagem em destaque por Pixabay
