黑客Alex Birsan發現PayPal安全漏洞
黑客Alex Birsan在平台的PayPal主身份驗證流程中發現了一個嚴重級別高的漏洞。
Alex Birsan發現了此漏洞,該漏洞可能使黑客竊取用戶的數據。儘管該公司表示在不損害任何人的個人信息的情況下進行了修復。
這項發現特別為Birsan贏得了15,300美元的獎勵,使公司得以解決該問題。
PayPal發言人金·埃克霍恩(Kim Eichorn)在一份聲明中解釋說:「雖然這是通過我們的漏洞賞金計劃給公司帶來的潛在漏洞,但沒有暴露任何用戶信息。」
他進一步指出,ReCaptcha實現使用的JS文件包含敏感且唯一的令牌。在某些情況下,用戶必須在身份驗證後解決驗證碼挑戰。 PayPal指出解決CAPTCHA的POST請求使用了公開的令牌。
Birsan發現漏洞
根據Birsan的說法,JavaScript(JS)文件包含看起來像跨站點請求偽造(CSRF)令牌和會話ID的事實引起了他的注意。他進一步解釋說,有效的javascript文件中的任何會話數據通常都允許攻擊者檢索數據。
「這種情況有幾次失敗的登錄嘗試,從而引發了reCAPTCHA身份驗證挑戰。沒關係,直到您意識到對下一次身份驗證嘗試的響應是一個頁面,除了Google驗證碼外什麼都沒有。如果用戶解決了驗證碼,則會啟動對/ auth / validate驗證碼的HTTP POST請求。」 Birsan解釋說。
他承認,在提交調查結果後,PayPal已修補了該漏洞。
黑客的上行受害者
值得注意的是,總部位於韓國的Upbit在遭受黑客攻擊後的兩個月內重新啟動了錢包服務,這些黑客以4,900萬美元的加密貨幣作為後盾。
現在可以存入和提取#ETH。需要新的存款地址。感謝您的耐心等待。有關更多信息,請訪問:https://t.co/ujW2ajsd5f pic.twitter.com/Xuqf6NTHCq
— Upbit Global(@upbitglobal)2020年1月13日
該交易所最近宣布,在對其安全系統進行升級之後,其能夠支持ETH存款和取款。
據報告,該交易所將所有剩餘的數字資產轉移到冷存儲中,以防萬一。據其首席執行官李石佑說,用戶資金保持不變。他在攻擊後的一份聲明中指出,Upbit將暫時中止所有交易功能。
由於與Facebook提議的數字貨幣Libra的合作夥伴關係,貝寶(PayPal)最近也成為頭條新聞。儘管是首席執行官丹·舒爾曼(Dan Schulman),但還是花了一些時間討論並解釋了為什麼在線支付處理器離開了Facebook的Libra。禁止成人娛樂網站Pornhub的交易平台也引起了爭議。