Falha no Paypal compromete senhas

PayPal cobrará taxa de conta que estiver inativa

Um grave bug no serviço de pagamentos PayPal acabou expondo indevidamente a senha de vários usuários. A vulnerabilidade, que foi catalogada com um CVSS 8.0, permitiu que um invasor obtivesse credenciais de usuário do servidor. A falha no serviço compromete as asenhas dos usuários de maneira perigosa.

Indagando sobre a operação do PayPal, o pesquisador de segurança Alex Birsan descobriu no ano passado um arquivo Javascript dinâmico na plataforma de pagamento on-line que continha dois valores relevantes (o ‘csrf’ e o ‘_sessionId’ ). Esses valores, quando encontrados em um JavaScript, eram acessíveis por meio de um XSSI, um tipo de ataque que pode incluir o arquivo em uma tag ‘<script>’ e os torna acessíveis.

Os dois valores dinâmicos do JavaScript. Fonte: Alex Birsan no Medium.

Falha no Paypal que compromete senhas é considerada grave

Falha no Paypal compromete senhas

Embora isso por si só possa ser considerado grave, o aprofundamento do uso desses valores concluiu que eles foram usados pelo PayPal na resolução do reCaptcha. Quando existem várias tentativas de acessar a plataforma, ela é validada enviando esses valores, juntamente com o token do Google. É nesse pedido que o servidor retorna o e-mail e a senha do usuário para reenviar o formulário de autenticação.

Aproveitando a vulnerabilidade, o site de um invasor pode causar vários acessos frustrados ao PayPal para iniciar a verificação do reCaptcha. Quando os dois dados necessários estão acessíveis pelo site do invasor, graças ao XSSI mencionado acima, você só precisa enviar a verificação de captcha com os valores para receber as credenciais do usuário.

Falha no Paypal compromete senhas
Prova de conceito de roubo de credenciais pelo site do atacante. Fonte: Alex Birsan no Medium .

Problema resolvido quase imediatamente

O erro, relatado ao PayPal em 18 de novembro, foi resolvido 24 horas depois, depois de confirmado. A descoberta gerou uma recompensa de US $ 15.300 para o pesquisador.

O PayPal, para solucionar a falha, implementou uma terceira chave necessária na resolução do captcha que não é explorável por um XSSI. No entanto, foi demonstrado que a empresa armazena, mesmo por um curto período de tempo, as senhas no plano de seus usuários, uma vez que é o servidor que devolve a credencial à solicitação.

Mesmo por um curto período de tempo esta ainda é uma prática ruim armazenar as credenciais dos usuários em um local plano.

Mais informações podem ser obtidas no link a seguir:


https://medium.com/@alex.birsan/the-bug-that-exposed-your-paypal-password-539fc2896da9