PayPal parchó una vulnerabilidad de alta gravedad que podría haber expuesto las contraseñas y las direcciones de correo electrónico de los usuarios a los atacantes.
El investigador Alex Birsan, mientras examinaba el flujo principal de autenticación de PayPal, descubrió una falla de seguridad crítica que los piratas informáticos podrían haber explotado para acceder a las contraseñas y las direcciones de correo electrónico de los usuarios. Informó de manera responsable la vulnerabilidad a PayPal el 18 de noviembre de 2019, a través de la plataforma de recompensas de errores de HackerOne y recibió una recompensa de poco más de $ 15,000 dólares por reportar el problema que fue reconocido por HackerOne después de 18 días de su presentación y luego parcheado por la compañía el 11 de diciembre de 2019 .
El error mencionado afectó a una de las páginas principales y más visitadas de PayPal, que es su 'formulario de inicio de sesión' como lo menciona Birsan en la divulgación pública de la falla.
Mientras Birsan estaba explorando la falla de autenticación principal en PayPal, su atención se dirigió a un archivo javascript que aparentemente contenía un token de falsificación de solicitud entre sitios (CSRF) junto con una ID de sesión. "proporcionar cualquier tipo de datos de sesión dentro de un archivo javascript válido", dijo el experto en su publicación de blog, "generalmente permite que los atacantes lo recuperen".
"En lo que se conoce como un ataque de inclusión de script entre sitios (XSSI), una página web maliciosa puede usar una etiqueta HTML <script> para importar un origen cruzado de script, lo que le permite acceder a cualquier información contenida en el archivo. "
Al dar su confirmación, PayPal presentó que los tokens sensibles y únicos se filtraron en un archivo JS empleado por la implementación de Recaptcha. A veces, los usuarios se encuentran en situaciones en las que tienen que pasar por un cuestionario de captcha después de la autenticación y, según la declaración realizada por PayPal, "los tokens expuestos se usaron en la solicitud posterior para resolver el desafío de captcha". El cuestionario captcha entra en juego después de varios intentos fallidos de inicio de sesión, eso es normal hasta que acepte el hecho de que "" la respuesta al siguiente intento de autenticación es una página que no contiene nada más que un captcha de Google. Si el captcha se resuelve por el usuario, se inicia una solicitud HTTP POST para / auth / validate captcha ". Aunque, para obtener con éxito las credenciales, el pirata informático debería encontrar una manera de hacer que los usuarios visiten un sitio web infectado antes de iniciar sesión en su cuenta PayPal.
Al asegurar a sus usuarios, PayPal dijo que "implementó controles adicionales en la solicitud de desafío de seguridad para evitar la reutilización de tokens, lo que resolvió el problema, y no se encontraron pruebas de que esta vulnerabilidad haya sido explotada por cibercriminales".
Fuente: E Hackin News
0 Comentarios