PayPal bestätigt Sicherheitslücke, zahlt Kopfgeld an ethischen Hacker |


Für die Meldung einer Sicherheitsverletzung, die dazu führen könnte, dass Benutzerpasswörter einem Hacker angezeigt werden, zahlte Paypal Alex Brisan, einen ethischen Hacker, ein Fehlergeld in Höhe von 15.300 US-Dollar. Paypal gab offen zu, dass Brisan, ein Forscher, die Lücke entdeckt und ihnen gemeldet hatte.

Brisan meldete den Verstoß am 8. Januar, PayPal hatte den Fehler jedoch bereits seit Dezember behoben, belohnte Brisan jedoch weiterhin.

Ein ethischer Hacker, auch als White-Hat-Hacker bezeichnet, ist ein Experte für Informationssicherheit, der systematisch versucht, im Namen seiner Eigentümer und mit deren Erlaubnis Sicherheitslücken in ein Computersystem, ein Netzwerk, eine Anwendung oder andere Computerressourcen zu gelangen dass ein böswilliger Hacker könnte.

Brisan schrieb in seiner öffentlichen Enthüllung, dass es sich um einen schwerwiegenden Fehler handele, der eine der am häufigsten besuchten Seiten von PayPal betraf unter Bezugnahme auf das Anmeldeformular. Er entdeckte die Sicherheitslücke, als er den Hauptauthentifizierungsfluss bei PayPal untersuchte.

Lücken bei PayPal

Laut Brisan wurde seine Aufmerksamkeit auf die Tatsache gelenkt, dass eine JavaScript-Datei (JS-Datei) ein CSRF-Token (Cross-Site Request Forgery) und eine Sitzungs-ID enthielt. Laut Birsan können Sitzungsdaten in einer gültigen Javascript-Datei normalerweise von Angreifern abgerufen werden.

Im selben Licht, PayPal bestätigte, dass vertrauliche, eindeutige Token in einer von der ReCaptcha-Implementierung verwendeten JS-Datei abgelegt wurden. Unter bestimmten Umständen mussten Benutzer nach der Authentifizierung eine CAPTCHA-Herausforderung lösen, und PayPal stellte fest, dass die freigelegten Token in der POST-Anforderung zum Lösen der CAPTCHA verwendet wurden.

PayPal bestätigte außerdem, dass ein Benutzer nach dem Lösen des Captchas zu einer anderen (böswilligen) Website wechseln und seine PayPal-Anmeldeinformationen eingeben muss. Dies würde es dem Hacker ermöglichen, die Sicherheitsabfrage abzuschließen, die dann eine Wiederholung der Authentifizierungsanforderung zur Anzeige des Kennworts erzeugte.

PayPal erklärte weiter, dass die Gefährdung jedoch nur dann auftrat, wenn ein Benutzer einem Login-Link von einer böswilligen Website aus folgt.

Plattform für ethische Hacker

Um die Cybersicherheit zu fördern, hat eine Organisation, HackerOne, eine Plattform bereitgestellt, die ethische Hacker mit Organisationen verbindet, die Belohnungen für Schwachstellen in ihrer Software, ihren Diensten oder Produkten zahlen.

Berichten zufolge gelang es einem Hacker, die HackerOne-Plattform selbst zu hacken, und er verdiente sich 20.000 US-Dollar.

Draußen gibt es Hacking-Wettbewerbe, bei denen ethische Hacker aufgefordert werden, sich an der Aufdeckung möglicher Sicherheitsverletzungen zu beteiligen. Einer dieser Pwn2Own-Hacking-Wettbewerbe findet im März statt, bei dem jeder, der ein Tesla Model 3-Elektroauto hacken kann, 700.000 US-Dollar und ein brandneues Tesla Model erhalten würde.

Apple hat außerdem bestätigt, dass jeder, der ein iPhone hackt, eine Belohnung von 1,5 Millionen US-Dollar erhält.

Ausgewähltes Bild von Pixabay

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

Werbung: Immobilienmakler HeidelbergMakler Heidelberg

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close