За сообщение о нарушении безопасности, которое могло привести к раскрытию пароля пользователя хакеру, Paypal выплатила Алексу Брисану, этичному хакеру, вознаграждение в размере пятнадцати тысяч трехсот долларов (15 300 долларов США). Paypal открыто признал, что Брисан, исследователь, обнаружил нарушение и сообщил им.
Брисан сообщил о нарушении 8 января, однако PayPal уже устранил сбой с декабря, но все же вознаградил Брисана.
Этичный хакер, также называемый белым хакером, является экспертом по информационной безопасности, который matic пытается проникнуть в компьютерную систему, сеть, приложение или другие вычислительные ресурсы от имени их владельцев и с их разрешения, чтобы найти уязвимости безопасности, которые мог бы сделать злонамеренный хакер.
Брисан написал в своем публичном сообщении, что произошедшее представляет собой историю серьезной ошибки, затронувшей одну из самых посещаемых страниц PayPal, относящуюся к форме входа. Он обнаружил нарушение при изучении основного потока аутентификации в PayPal.
лазейки PayPal
По словам Брисана, его внимание привлек тот факт, что файл JavaScript (JS) содержал нечто похожее на токен подделки межсайтовых запросов (CSRF) и идентификатор сеанса. Предоставление любых данных сеанса внутри действительного файла javascript, по словам Бирсана, обычно позволяет злоумышленникам получить их.
В том же свете PayPal подтвердил утечку конфиденциальных уникальных токенов в файле JS, используемом реализацией ReCaptcha . В определенных обстоятельствах пользователям приходилось решать задачу CAPTCHA после аутентификации, и PayPal отметил, что открытые токены использовались в запросе POST для решения CAPTCHA.
PayPal также подтвердил, что после решения капчи пользователю потребуется перейти на другой (вредоносный) сайт и ввести свои учетные dent PayPal. Это позволит хакеру завершить проверку безопасности, которая затем воспроизведет запрос аутентификации, чтобы показать пароль.
PayPal также пояснил, что, однако, раскрытие происходит только в том случае, если пользователь переходит по ссылке для входа с вредоносного сайта..
Соединительная платформа этичных хакеров
Для продвижения кибербезопасности организация HackerOne предоставила платформу, которая связывает этичных хакеров с организациями, которые выплачивают вознаграждение за уязвимости, обнаруженные в их программном обеспечении, услугах или продуктах..
Сообщается, что одному хакеру удалось взломать HackerOne и заработать 20 000 долларов.
Помимо этого, проводятся хакерские соревнования, в которых этическим хакерам предлагается участвовать в поиске возможных нарушений безопасности . Один из этих конкурсов хакеров Pwn2Own проводится в марте, где любой, кто сможет взломать электромобиль Tesla Model 3, получит 700 000 долларов и совершенно новую модель Tesla.
Apple также подтвердила, что любой, кто взломает iPhone, получит вознаграждение в размере 1,5 миллиона долларов.
Избранное изображение от Pixabay