黑客Alex Birsan发现PayPal安全漏洞

比尔桑黑客Alex Birsan在平台的PayPal主身份验证流程中发现了一个严重级别高的漏洞。

Alex Birsan发现了此漏洞,该漏洞可能使黑客窃取用户的数据。尽管该公司表示在不损害任何人的个人信息的情况下进行了修复。

这项发现特别为Birsan赢得了15,300美元的奖励,使公司得以解决该问题。

PayPal发言人金·埃克霍恩(Kim Eichorn)在一份声明中解释说:“虽然这是通过我们的漏洞赏金计划给公司带来的潜在漏洞,但没有暴露任何用户信息。”

他进一步指出,ReCaptcha实现使用的JS文件包含敏感且唯一的令牌。在某些情况下,用户必须在身份验证后解决验证码挑战。 PayPal指出解决CAPTCHA的POST请求使用了公开的令牌。

Birsan发现漏洞

根据Birsan的说法,JavaScript(JS)文件包含看起来像跨站点请求伪造(CSRF)令牌和会话ID的事实引起了他的注意。他进一步解释说,有效的javascript文件中的任何会话数据通常都允许攻击者检索数据。

“这种情况有几次失败的登录尝试,从而引发了reCAPTCHA身份验证挑战。没关系,直到您意识到对下一次身份验证尝试的响应是一个页面,除了Google验证码外什么都没有。如果用户解决了验证码,则会启动对/ auth / validate验证码的HTTP POST请求。” Birsan解释说。

他承认,在提交调查结果后,PayPal已修补了该漏洞。

黑客的上行受害者

值得注意的是,总部位于韩国的Upbit在遭受黑客攻击后的两个月内重新启动了钱包服务,这些黑客以4,900万美元的加密货币作为后盾。

该交易所最近宣布,在对其安全系统进行升级之后,其能够支持ETH存款和取款。

据报告,该交易所将所有剩余的数字资产转移到冷存储中,以防万一。据其首席执行官李石佑说,用户资金保持不变。他在攻击后的一份声明中指出,Upbit将暂时中止所有交易功能。

由于与Facebook提议的数字货币Libra的合作伙伴关系,贝宝(PayPal)最近也成为头条新闻。尽管是首席执行官丹·舒尔曼(Dan Schulman),但还是花了一些时间讨论并解释了为什么在线支付处理器离开了Facebook的Libra。禁止成人娱乐网站Pornhub的交易平台也引起了争议。


资讯来源:由0x资讯编译自ALTCOINBUZZ。版权归作者所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢