PayPala dało się zhakować jednym kliknięciem

Założona w 1998 roku, a cztery lata później sprzedana eBay’owi firma PayPal oferuje jedne z najpopularniejszych obecnie internetowych usług płatniczych. Oznacza to, że przepływają przez nią każdego dnia ogromne sumy pieniędzy. Popularność oznacza natomiast problemy.

W przypadku usługi, która przechowuje dane lub pieniądze, naturalnym jest, że ludzie próbują znaleźć słabe punkty w zabezpieczeniach – albo żeby poinformować o tym właścicieli i, na przykład, zgarnąć trochę „zielonych”, albo też żeby odnalezione luki wykorzystać i… zgarnąć ich jeszcze więcej.

Specjalista ds. cyberbezpieczeństwa, Yasser Ali, jest po dobrej stronie. Nie wykorzystał odkrytych informacji, ale za to podzielił się nimi w mediach. Okazuje się bowiem, że w zabezpieczeniach PayPala została odnaleziona luka, która zhakować usługę w niezwykle prosty sposób.

Problem leży w tokenach CSRF, które uwierzytelniają każdy wniosek składany przez klienta. Każdy wniosek to nowy token, ale Ali odkrył, że mogą one być wykorzystywane więcej niż jeden raz. Nie brzmi to wprawdzie łatwo, ponieważ tak czy inaczej napastnik musi znać kod. Ale…

Ale okazuje się, że „jeśli niezalogowany atakujący próbuje przelać pieniądze, PayPal poprosi go o podane adresu e-mail i hasła. Atakujący może podać adres ofiary i JAKIEKOLWIEK hasło. Wniosek zostaje przyjęty, a prawidłowy token może być użyty wiele razy”.

Jest gorzej. „Po dalszym dochodzeniu zauważyłem, że wniosek o utworzenie pytania bezpieczeństwa, które jest inicjowane podczas rejestracji, nie jest zabezpieczone hasłem. To oznacza, że może być zmienione bez podawania hasła”. Dlatego też cały proces jest (a właściwie był) niezwykle prosty.

Zanim poszedł z tematem do mediów, Ali przekazał odpowiednie informacje PayPalowi. Właściciele zdołali się już z tym uporać i luka została załatana. Specjalista otrzymał także finansowe podziękowanie za swoje zgłoszenie.

Źródło: IT Pro Portal, USEE