PayPal подтвердил наличие уязвимости в системе безопасности и выплатил вознаграждение этичному хакеру

За сообщение о нарушении безопасности, которое могло привести к утечке паролей пользователей в руки хакеров, PayPal выплатил Алексу Брисану, этичному хакеру, вознаграждение в размере пятнадцати тысяч трехсот долларов (15 300 долларов). PayPal открыто признал, что Брисан, исследователь, обнаружил нарушение и сообщил им об этом.

Брисан сообщил о взломе 8 января, однако PayPal устранил ошибку еще в декабре, но все равно выплатил Брисану вознаграждение.

Этичный хакер, также называемый «белым хакером», — это эксперт по информационной безопасности, которыйmaticпытается проникнуть в компьютерную систему, сеть, приложение или другие вычислительные ресурсы от имени их владельцев — и с их разрешения — чтобы найти уязвимости в системе безопасности, которые мог бы обнаружить злонамеренный хакер.

Брисан в своем публичном заявлении сообщил, что произошла серьезная ошибка, затронувшая одну из самых посещаемых страниц PayPal, а именно форму авторизации. Он обнаружил утечку данных, изучая основной процесс аутентификации в PayPal.

Уязвимости PayPal

По словам Брисана, его внимание привлекло то, что файл JavaScript (JS) содержал токен, похожий на токен для защиты от межсайтовой подделки запросов (CSRF), и идентификатор сессии. Бирсан отметил, что предоставление любых данных сессии внутри допустимого файла JavaScript обычно позволяет злоумышленникам получить к ним доступ.

В этой же ситуации PayPal подтвердил утечку конфиденциальных уникальных токенов из JS-файла, используемого в реализации ReCaptcha. В определенных случаях пользователям приходилось решать CAPTCHA-запрос после аутентификации, и PayPal отметил, что раскрытые токены использовались в POST-запросе для решения CAPTCHA.

PayPal также подтвердил, что после решения капчи пользователю потребуется перейти на другой (вредоносный) сайт и ввести своиdentданные PayPal. Это позволит хакеру завершить проверку безопасности, после чего будет отправлен запрос на повторную аутентификацию для отображения пароля.

Компания PayPal также пояснила, что, однако, уязвимость возникала только в том случае, если пользователь переходил по ссылке для входа на вредоносный сайт.

Платформа для объединения этичных хакеров

Для повышения уровня кибербезопасности организация HackerOneсоздала платформу, которая связывает этичных хакеров с организациями, выплачивающими вознаграждения за обнаруженные уязвимости в их программном обеспечении, услугах или продуктах..

По сообщениям, одному хакеру удалось взломать HackerOne и заработать 20 000 долларов.

Помимо этого, существуют хакерские соревнования, где этичных хакеров призывают участвовать в поиске возможных уязвимостей в системе безопасности. Одно из таких соревнований, Pwn2Own, состоится в марте, и любой, кто сможет взломать электромобиль Tesla Model 3, получит 700 000 долларов и совершенно новую Tesla Model.

Компания Apple также подтвердила, что любой, кто взломает iPhone, получит вознаграждение в размере 1,5 миллиона долларов.

Изображение предоставлено Pixabay.