黑客Alex Birsan發現PayPal安全漏洞

黑客Alex Birsan在平台的PayPal主身份驗證流程中發現了一個嚴重級別高的漏洞。

Alex Birsan發現了此漏洞，該漏洞可能使黑客竊取用戶的數據。儘管該公司表示在不損害任何人的個人信息的情況下進行了修復。

這項發現特別為Birsan贏得了15,300美元的獎勵，使公司得以解決該問題。

PayPal發言人金·埃克霍恩（Kim Eichorn）在一份聲明中解釋說：「雖然這是通過我們的漏洞賞金計劃給公司帶來的潛在漏洞，但沒有暴露任何用戶信息。」

他進一步指出，ReCaptcha實現使用的JS文件包含敏感且唯一的令牌。在某些情況下，用戶必須在身份驗證後解決驗證碼挑戰。 PayPal指出解決CAPTCHA的POST請求使用了公開的令牌。

Birsan發現漏洞

根據Birsan的說法，JavaScript（JS）文件包含看起來像跨站點請求偽造（CSRF）令牌和會話ID的事實引起了他的注意。他進一步解釋說，有效的javascript文件中的任何會話數據通常都允許攻擊者檢索數據。

「這種情況有幾次失敗的登錄嘗試，從而引發了reCAPTCHA身份驗證挑戰。沒關係，直到您意識到對下一次身份驗證嘗試的響應是一個頁面，除了Google驗證碼外什麼都沒有。如果用戶解決了驗證碼，則會啟動對/ auth / validate驗證碼的HTTP POST請求。」 Birsan解釋說。

他承認，在提交調查結果後，PayPal已修補了該漏洞。

黑客的上行受害者

值得注意的是，總部位於韓國的Upbit在遭受黑客攻擊後的兩個月內重新啟動了錢包服務，這些黑客以4,900萬美元的加密貨幣作為後盾。

現在可以存入和提取#ETH。需要新的存款地址。感謝您的耐心等待。有關更多信息，請訪問：https://t.co/ujW2ajsd5f pic.twitter.com/Xuqf6NTHCq

— Upbit Global（@upbitglobal）2020年1月13日

該交易所最近宣布，在對其安全系統進行升級之後，其能夠支持ETH存款和取款。

據報告，該交易所將所有剩餘的數字資產轉移到冷存儲中，以防萬一。據其首席執行官李石佑說，用戶資金保持不變。他在攻擊後的一份聲明中指出，Upbit將暫時中止所有交易功能。

由於與Facebook提議的數字貨幣Libra的合作夥伴關係，貝寶（PayPal）最近也成為頭條新聞。儘管是首席執行官丹·舒爾曼（Dan Schulman），但還是花了一些時間討論並解釋了為什麼在線支付處理器離開了Facebook的Libra。禁止成人娛樂網站Pornhub的交易平台也引起了爭議。