Por denunciar uma falha de segurança que poderia levar à exposição da senha de um usuário a um hacker, o PayPal pagou a Alex Brisan, um hacker ético, uma recompensa de quinze mil e trezentos dólares (US$ 15.300). O PayPal admitiu abertamente que Brisan, um pesquisador, descobriu a falha e a reportou à empresa.
Brisan relatou a violação em 8 de janeiro; no entanto, o PayPal já havia corrigido a falha desde dezembro, mas mesmo assim recompensou Brisan.
Um hacker ético, também conhecido como hacker de chapéu branco, é um especialista em segurança da informação que tentamaticpenetrar em um sistema de computador, rede, aplicativo ou outros recursos computacionais em nome de seus proprietários — e com a permissão deles — para encontrar vulnerabilidades de segurança que um hacker malicioso poderia explorar.
Brisan escreveu em sua declaração pública que o ocorrido se tratava de uma falha de segurança grave que afetou uma das páginas mais visitadas do PayPal, especificamente o formulário de login. Ele descobriu a vulnerabilidade enquanto explorava o fluxo principal de autenticação do PayPal.
As brechas do PayPal
Segundo Brisan, sua atenção foi atraída pelo fato de um arquivo JavaScript (JS) conter o que parecia ser um token de falsificação de solicitação entre sites (CSRF) e um ID de sessão. Fornecer quaisquer dados de sessão dentro de um arquivo JavaScript válido, disse Brisan, geralmente permite que sejam recuperados por invasores.
Nesse mesmo contexto, o PayPal confirmou que tokens sensíveis e exclusivos estavam sendo vazados em um arquivo JS usado pela implementação do ReCaptcha . Em certas circunstâncias, os usuários precisavam resolver um desafio CAPTCHA após a autenticação, e o PayPal observou que os tokens expostos eram usados na requisição POST para resolver o CAPTCHA.
O PayPal também confirmou que, após resolver o captcha, o usuário precisaria acessar outro site (malicioso) e inserir suasdentdo PayPal. Isso permitiria ao hacker concluir o desafio de segurança, que então geraria uma resposta à solicitação de autenticação para exibir a senha.
O PayPal explicou ainda que, no entanto, a exposição só ocorre se um usuário seguir um link de login de um site malicioso.
Plataforma de conexão para hackers éticos
Para promover a cibersegurança, a organização HackerOne criou uma plataforma que conecta hackers éticos a empresas que pagam recompensas por vulnerabilidades encontradas em seus softwares, serviços ou produtos..
Um hacker teria conseguido invadir a HackerOne e faturado US$ 20.000.
Fora isso, existem competições de hacking onde hackers éticos são incentivados a participar na busca por possíveis brechas de segurança . Uma dessas competições, a Pwn2Own, acontece em março, onde quem conseguir hackear um carro elétrico Tesla Model 3 ganhará US$ 700.000 e um Tesla Model 3 novinho em folha.
A Apple também confirmou que qualquer pessoa que conseguir hackear um iPhone receberá uma recompensa de US$ 1,5 milhão.
Imagem em destaque por Pixabay
