image

Onderzoeker kon PayPal-accounts met één klik overnemen

donderdag 4 december 2014, 14:52 door Redactie, 3 reacties

Een kwetsbaarheid in de populaire betaaldienst PayPal maakte het mogelijk voor kwaadwillenden om willekeurige accounts via één muisklik over te nemen. Dat stelt de Egyptische beveiligingsonderzoeker Yasser Ali die het probleem ontdekte en aan PayPal rapporteerde.

De betaaldienst gebruikt een token om de acties van gebruikers te authenticeren. Het token wordt voor elke actie veranderd, maar Ali ontdekte dat de tokens voor de betreffende gebruiker kunnen worden hergebruikt. Een aanvaller die één van de tokens kan bemachtigen kan vervolgens acties in naam van een ingelogde gebruiker uitvoeren. Om een token te bemachtigen moet een aanvaller wel het e-mailadres van zijn slachtoffer weten.

Als de aanvaller bijvoorbeeld geld wil overmaken vraagt PayPal om het e-mailadres en wachtwoord. De aanvaller vult in dit geval het e-mailadres van het slachtoffer in en een willekeurig wachtwoord. Vervolgens vangt hij het request van PayPal op. In dit request bevindt zich namelijk het token dat kan worden hergebruikt om acties van de gebruiker te autoriseren. Verder ontdekte de onderzoeker ook nog een manier om de beveiligingsvraag via het onderschepte token te resetten om zo het wachtwoord te wijzigen.

Nadat Ali PayPal waarschuwde werd het lek snel verholpen. De onderzoeker, die als bewijs onderstaande video maakte, kreeg voor zijn melding een bedrag van 10.000 dollar, de maximale beloning die PayPal voor bugmeldingen uitlooft. Op zowel Hacker News als Reddit is kritiek op de beloning gekomen, aangezien de ernst van de kwetsbaarheid volgens critici een hoger bedrag zou rechtvaardigen.

Image

Reacties (3)
04-12-2014, 15:36 door Anoniem
Allemensen, dit is een ontzettend groot beveiligingsprobleem, gezien de omzet van het bedrijf en de ellende die dit probleem had kunnen teweegbrengen had ik een extra beloning zeker gewaardeerd. Of een project aangeboden om meer zaken te doorgronden, want dan kan paypal wel meer geld bieden dan hun eigen verzonnen max van $10k.
04-12-2014, 16:24 door Anoniem
Wel een heel erg slordige fout tokens uitdelen waar je nog geen recht op hebt. Maar ik ben blij dat dit al is verholpen volgens het artikel
04-12-2014, 19:10 door Anoniem
Maar 1 klik in deze video van 9'10?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.