För att ha rapporterat ett säkerhetsintrång som kan leda till att en hackare exponerar användarlösenordet, betalade Paypal Alex Brisan, en etisk hackare, en buggpremie på femton tusen trehundra dollar ($15 300). Paypal erkände öppet att Brisan, en forskare, upptäckte intrånget och rapporterade till dem.
Brisan rapporterade intrånget den 8 januari, men PayPal hade redan åtgärdat felet sedan december men ändå belönat Brisan.
En etisk hacker, även kallad white-hat hacker, är en informationssäkerhetsexpert som matic försöker penetrera ett datorsystem, nätverk, applikation eller andra datorresurser på uppdrag av dess ägare – och med deras tillåtelse – för att hitta säkerhetsbrister som en illvillig hackare kan.
Brisan skrev i sitt offentliga avslöjande att det som hände är historien om en allvarlig bugg som påverkar en av PayPals mest besökta sidor med hänvisning till inloggningsformuläret. Han upptäckte intrånget när han utforskade det huvudsakliga autentiseringsflödet hos PayPal.
PayPals kryphål
Enligt Brisan uppmärksammades hans uppmärksamhet på det faktum att en JavaScript-fil (JS) innehöll vad som såg ut som en CSRF-token (cross-site request forgery) och ett sessions-ID. Att tillhandahålla sessionsdata i en giltig javascript-fil, sa Birsan, tillåter vanligtvis att den hämtas av angripare.
I samma ljus PayPal att känsliga, unika tokens läckte ut i en JS-fil som användes av ReCaptcha-implementeringen . Under vissa omständigheter var användare tvungna att lösa en CAPTCHA-utmaning efter autentisering, och PayPal noterade att de exponerade tokens användes i POST-begäran för att lösa CAPTCHA.
PayPal bekräftade också att efter att ha löst captcha, skulle en användare sedan behöva gå till en annan (skadlig) webbplats och ange sina PayPal- dent . Detta skulle göra det möjligt för hackaren att slutföra säkerhetsutmaningen, som sedan producerade en repris på autentiseringsbegäran för att visa lösenordet.
PayPal förklarade vidare att exponeringen endast inträffade om en användare följer en inloggningslänk från en skadlig webbplats.
Etiska hackares uppkopplingsplattform
För att främja cybersäkerhet har en organisation, HackerOne , tillhandahållit en plattform som förbinder etiska hackare med organisationer som betalar belöningar för sårbarheter som finns i deras programvara, tjänster eller produkter.
En hackare ska ha lyckats hacka HackerOne- plattformen och tjänade själv 20 000 dollar.
Utanför detta finns det hacktävlingar där etiska hackare uppmuntras att delta för att hitta möjliga säkerhetsintrång . En av dessa Pwn2Own hackingtävlingar äger rum i mars, där alla som kan hacka en Tesla Model 3 elbil skulle plocka upp 700 000 $ och en helt ny Tesla Model.
Apple har också bekräftat att alla som hackar en iPhone kommer att få en belöning på 1,5 miljoner dollar.
Utvald bild av Pixabay
