Сторонний эксперт по кибербезопасности выявил уязвимость в PayPal, которая раскрывала данные учетных записей пользователей. За эту находку в соответствии с их программой bug bounty он получил более 15 тысяч долларов. После этого специалист по защите информации резюме Воронеж поспешил заверить пользователей, что уязвимость уже исправлена.
Чем был опасен баг, специалист по защите информации резюме Воронеж
Уязвимость затрагивала непосредственно сам процесс аутентификации. Основная проблема заключалась в способе хранения токенов системой PayPal. При организации XSSI-атаки эти данные становились достоянием хакеров, которые могли похитить чужую учетную запись. И пусть специалист по защите информации собеседование Воронеж сообщил, что не каждый злоумышленник мог бы с легкостью воспользоваться уязвимостью, с технической стороны это было возможно. Следовательно, данные пользователей системы находились под угрозой.
Собственно, чтобы узнать конфиденциальную информацию, хакер должен был сделать следующее:
- отправить пользователя на специальный фишинговый сайт;
- убедить ввести свои данные в зашифрованные поля;
- провести несколько неудачных попыток входа в чужую учетную запись;
- решить задачу reCAPTCHA.
После этого система формирует специальный файл в котором находятся все необходимые для аутентификации данные. Более того, включая электронную почту и пароль. Тем не менее, специалист по защите информации средняя зарплата Воронеж утверждает, что это достаточно сложный способ.
Но исследователь, получивший деньги за свое открытие, смог написать эксплойт. Он продемонстрировал разработчикам PayPal, что заинтересованному хакеру может потребоваться не так уж и много времени для проникновения в систему. После входа в учетную запись злоумышленник мог свободно распоряжаться финансами пользователя. При этом не привлекая к себе внимание.
Как исправили уязвимость в итоге
Об уязвимости рассказали представителям PayPal в ноябре. Компании потребовался месяц на проверку информации и выпуск патча, который устранял уязвимость. Точно неизвестно, успел ли хоть один хакер воспользоваться багом и украсть личные средства пользователей. Компания PayPal очень дорожит своей репутацией, поэтому не спешит отвечать на подобные вопросы или делать заявления. Тем не менее, пока неизвестно ни об одном случае взлома системы и учетной записи при помощи именно этой уязвимости.
Но специалист по информационной безопасности в банке Воронеж еще раз напоминает, что хакеры могут найти новые пути для обмана пользователе. Поэтому особенно внимательно нужно относиться к любым сайтам, которые требуют ввести личную информацию. Особенно, данные учетных записей.
