Certains articles de veille peuvent faire l'objet de traduction automatique.
PayPal a confirmé un bogue sur son site Web qui pourrait exposer les adresses e-mail et les mots de passe des utilisateurs. Compte tenu de la gravité de la vulnérabilité, PayPal a même octroyé une prime de 15000 $ au chercheur pour avoir signalé la faille.
Informations d’identification de bogue PayPal
Le chercheur Alex Birsan a trouvé un bug sérieux sur le site PayPal. Comme décrit dans son article de blog, la vulnérabilité existait dans le formulaire de connexion de PayPal. Par conséquent, cela constituait une grave menace pour l’intégrité des données des utilisateurs.
Selon le chercheur, il a trouvé un jeton CSRF et un identifiant de session dans le flux d’authentification principal de PayPal. Ses tentatives de test lui ont permis de réaliser la résilience du système aux attaques CSRF classiques. Cependant, des recherches supplémentaires ont révélé un bug dans le défi de sécurité de PayPal – un mécanisme de protection contre les attaques par force brute.
En bref, il a constaté que le problème existait avec le défi reCAPTCHA implémenté sur le formulaire de connexion qui entre en action après quelques tentatives de connexion infructueuses. Comme indiqué dans son message,
Lors de la détection d’une éventuelle tentative de force brute, la réponse à la prochaine tentative d’authentification est une page ne contenant rien d’autre qu’un captcha Google. Si le captcha est résolu par l’utilisateur, une requête HTTP POST à
/auth/validatecaptcha
est lancé.
Le corps de la demande contenait déjà «familier _csrf
et _sessionID
». La fin de la demande de validation a ensuite conduit l’utilisateur au flux d’authentification avec un formulaire d’auto-soumission qui incluait l’adresse e-mail et le mot de passe de l’utilisateur en texte brut.
J’ai réalisé que, avec le bon timing et une certaine interaction de l’utilisateur, connaître tous les jetons utilisés dans cette demande était suffisant pour obtenir les informations d’identification PayPal de la victime. Dans un scénario d’attaque réel, la seule interaction utilisateur nécessaire aurait été une seule visite sur une page Web contrôlée par un attaquant.
Birsan a également partagé la preuve de concept de l’exploit dans son article.
Le chercheur a remporté une prime de 15 000 $
Après avoir trouvé le bogue, le chercheur a collaboré avec PayPal via leur programme de primes HackerOne. Comme révélé par le Rapport HackerOne, Birsan a trouvé cette vulnérabilité en novembre 2019. Puis, avec une communication continue, PayPal a finalement résolu le bogue en décembre 2019. Et, la divulgation est venue tout récemment.
Comme confirmé par PayPal,
Un bogue a été identifié dans lequel des jetons sensibles et uniques étaient divulgués dans un fichier JS utilisé par l’implémentation recaptcha …
PayPal a mis en œuvre des contrôles supplémentaires sur la demande de défi de sécurité pour empêcher la réutilisation des jetons, ce qui a résolu le problème, et aucune preuve d’abus n’a été trouvée.
PayPal a non seulement confirmé la présence du bogue, mais a également attribué une prime de 15 300 $ au chercheur.
Faites-nous part de vos réflexions dans les commentaires.
Poster un commentaire