За сообщение о нарушении безопасности, которое могло привести к утечке паролей пользователей в руки хакеров, PayPal выплатил Алексу Брисану, этичному хакеру, вознаграждение в размере пятнадцати тысяч трехсот долларов (15 300 долларов). PayPal открыто признал, что Брисан, исследователь, обнаружил нарушение и сообщил им об этом.
Брисан сообщил о взломе 8 января, однако PayPal устранил ошибку еще в декабре, но все равно выплатил Брисану вознаграждение.
Этичный хакер, также называемый «белым хакером», — это эксперт по информационной безопасности, которыйmaticпытается проникнуть в компьютерную систему, сеть, приложение или другие вычислительные ресурсы от имени их владельцев — и с их разрешения — чтобы найти уязвимости в системе безопасности, которые мог бы обнаружить злонамеренный хакер.
Брисан в своем публичном заявлении сообщил, что произошла серьезная ошибка, затронувшая одну из самых посещаемых страниц PayPal, а именно форму авторизации. Он обнаружил утечку данных, изучая основной процесс аутентификации в PayPal.
Уязвимости PayPal
По словам Брисана, его внимание привлекло то, что файл JavaScript (JS) содержал токен, похожий на токен для защиты от межсайтовой подделки запросов (CSRF), и идентификатор сессии. Бирсан отметил, что предоставление любых данных сессии внутри допустимого файла JavaScript обычно позволяет злоумышленникам получить к ним доступ.
В этой же ситуации PayPal подтвердил утечку конфиденциальных уникальных токенов из JS-файла, используемого в реализации ReCaptcha . В определенных случаях пользователям приходилось решать CAPTCHA-запрос после аутентификации, и PayPal отметил, что раскрытые токены использовались в POST-запросе для решения CAPTCHA.
PayPal также подтвердил, что после решения капчи пользователю потребуется перейти на другой (вредоносный) сайт и ввести своиdentданные PayPal. Это позволит хакеру завершить проверку безопасности, после чего будет отправлен запрос на повторную аутентификацию для отображения пароля.
Компания PayPal также пояснила, что, однако, уязвимость возникала только в том случае, если пользователь переходил по ссылке для входа на вредоносный сайт.
Платформа для объединения этичных хакеров
Для повышения уровня кибербезопасности организация HackerOne создала платформу, которая связывает этичных хакеров с организациями, выплачивающими вознаграждения за обнаруженные уязвимости в их программном обеспечении, услугах или продуктах..
По сообщениям, одному хакеру удалось взломать HackerOne и заработать 20 000 долларов.
Помимо этого, существуют хакерские соревнования, где этичных хакеров призывают участвовать в поиске возможных уязвимостей в системе безопасности . Одно из таких соревнований, Pwn2Own, состоится в марте, и любой, кто сможет взломать электромобиль Tesla Model 3, получит 700 000 долларов и совершенно новую Tesla Model.
Компания Apple также подтвердила, что любой, кто взломает iPhone, получит вознаграждение в размере 1,5 миллиона долларов.
Изображение предоставлено Pixabay.
