Hackear cuentas de PayPal con CSRF

La industria de la seguridad informática ha realizado muchos cambios positivos desde los primeros días de la informática. Una cosa que parece estar llegando a las empresas tecnológicas más grandes son las correcciones de errores. PayPal ofrece dicho programa y [Yasser] decidió lanzar su sombrero al cuadrilátero y ver si podía encontrar alguna vulnerabilidad jugosa. Su curiosidad valió la pena.

Paypal es un gran jugador en el mundo del procesamiento de pagos, pero eso no significa que no esté exento de fallas. A veces, cuanto más grande es el objetivo, más difícil es encontrar problemas. [Yasser] quería experimentar con un ataque falso de petición entre sitios. Este tipo de ataque generalmente requiere que el atacante engañe a la víctima para que haga clic en un enlace malicioso. Luego, la liga parodiaría a la víctima y haría solicitudes en nombre de la víctima. Esto solo es posible si la víctima ha iniciado sesión en el sitio de destino.

Sin embargo, PayPal cuenta con mecanismos de protección para evitar este tipo de problemas. [Yasser] encontró un escondite. Cuando un usuario inicia sesión para realizar una solicitud, PayPal le otorga una credencial. Se supone que este signo es válido para un usuario y una sola solicitud. Al experimentar, [Yasser] descubrió una forma de obtener una especie de token de automóvil "llave maestra". El atacante puede intentar iniciar una transferencia de pago sin iniciar sesión primero en una cuenta de PayPal. Una vez que se intenta la transferencia, PayPal le pedirá al usuario que se autentique. Este proceso produce una señal de automóvil que aparentemente funciona para múltiples solicitudes de cualquier usuario. Hace que el token de autenticación sea casi completamente ineficaz.

Una vez que el atacante tiene un "signo auténtico universal", puede engañar a la víctima para que visite una página web maliciosa. Si el usuario inició sesión en su cuenta de PayPal en ese momento, la página web del atacante puede usar la señal universal del automóvil para engañar a la computadora de la víctima para que realice muchas solicitudes diferentes de PayPal. Los ejemplos incluyen agregar direcciones de correo electrónico a la cuenta, cambiar las respuestas a las preguntas de seguridad y más. Todo esto se puede hacer simplemente engañando al usuario para que haga clic en un solo enlace. Muy escalofriante.

[Yasser] fue responsable de su divulgación, por supuesto. Informó el error a PayPal e informa que se solucionó de inmediato. Siempre es bueno ver a grandes empresas como PayPal promover la divulgación de la responsabilidad y recompensarla en lugar de llamar a los abogados. Asegúrese de tomar un video de demostración del truco a continuación.

https://www.youtube.com/watch?v=KoFFayw58ZQ

[via Reddit]

  • EsEseIdiotaOtra Vez dice:

    Ahh... es por eso que acabo de recibir una entrega de 100,000 nombres de jardines... Estaba seguro de que no ordené ninguno... hora de revisar mi cuenta de paypal; ¬0... esto muestra un pensamiento inteligente de Yasser ... y algunas suposiciones bastante estúpidas por parte de PayPal. es bueno ver que está parcheado... piensa con cuidado que la vulnerabilidad puede existir por un tiempo.

  • José dice:

    Parece que el atacante necesitaba capturar el tráfico del usuario atacado para recopilar la información necesaria para incluso iniciar el ataque. Utiliza un lado de eructo. Según dice, era la única forma de acceder a la información porque PayPal usa encriptación SSL. Esperemos que obtenga un buen cambio por sus hallazgos de PayPal. 😉

    • rick osgood dice:

      Tengo entendido que necesitaba específicamente capturar el tráfico ANTES de que un usuario iniciara sesión. Y ese puede ser cualquier usuario, incluido uno que no existe. La razón es que puede obtener el "signo auténtico universal". Este signo se muestra solo cuando un usuario intenta enviar dinero antes de iniciar sesión. Realmente no tiene que captar el tráfico de la víctima. Una vez que haya generado y recopilado la señal del automóvil, todo lo que necesita hacer es hacer clic en el enlace malicioso. Luego, su ataque usa el token del automóvil para engañar al navegador de la víctima para que envíe solicitudes en nombre de la víctima.

      • Robot dice:

        Lo encuentro crítico; A menudo puedo pagar a través de PayPal de esta manera.

  • anon azul dice:

    Recibió el premio máximo de paypal de $ 10,000 USD. Lo bueno es que realmente no quieres que las personas sientan que podrían mejorar fácilmente en un mercado negro.

    • sana dice:

      deberían haber tomado otro 0 y haber hecho un ejemplo de este premio (estableciendo un nuevo máximo), para mostrar que jugar bien puede ser lucrativo. ¿Cuánto cree que vale esta explotación en el mercado negro en cuestión?

  • alex rossi dice:

    ¡Olvídate del CSRF, las fichas de autos rotos están unba!

  • joelfinkle dice:

    El mayor factor atenuante es, como se indicó, que su navegador ya debería haber iniciado sesión en PayPal.
    Sé que muchas personas dejan las ventanas abiertas constantemente durante días. Me siento justificado para cerrar sesión en Chrome al menos varias veces al día (un hábito probablemente proviene de los primeros días de IE o Mosaic cuando el rendimiento se ralentiza después de un tiempo).

    • Robar dice:

      esto * todavía * sucede con IE ... sus precauciones siguen siendo justificadas.

      • polobunny dice:

        Y otros navegadores (como FF y Chrome). Solo mire el heap-neclassified que crece en la memoria en FF y dígame que este es el comportamiento normal esperado del navegador web. La fragmentación y los problemas en los que no se recupera la memoria están por todas partes.

        • 0c dice:

          ¿Existe un navegador moderno que no cague?

          • SavannahLeono dice:

            No.

  • Luego dice:

    Aqui hay uno. Registre una gran cantidad de direcciones de correo electrónico para cuentas de PayPal y si alguien quiere enviar dinero a esa dirección, obtendrá el dinero. El propietario real de la dirección de correo electrónico ni siquiera puede reclamar la cuenta de PayPal porque no verifica en absoluto que la persona que registra la dirección en la cuenta realmente sea propietaria de la dirección de correo electrónico.

    • F dice:

      Si el gobierno cree que estás usando estas cuentas para lavar dinero de las drogas, puede sentirse libre de hacerte la vida imposible. Y también puede explicarle al IRS de dónde proviene todo este dinero "gratuito" y si está dispuesto a pagar impuestos sobre él. Sí, de hecho, esta es una excelente manera de hacer nuevos amigos, puedes tener agradables charlas con la gente del gobierno que aparecerá en tu puerta.

  • yaser ali dice:

    En realidad, había otra vulnerabilidad que incluí en el informe, esta vulnerabilidad me permitió cambiar los "Problemas de seguridad" de la víctima, que es obligatorio para hacerse cargo de su cuenta, ¡aunque estaba protegida con contraseña!

  • Unix Águila dice:

    Gr8 Sé que algunas personas están vendiendo transferencias de Paypal a precio barato en este foro, mire esto http://unixorder.com

  • Al Juffali dice:

    Vi un comentario sobre kloviaclinks (.) Com en la red y decidí probarlo. Hace solo unos minutos, enviaron mi solicitud y agregaron $ 70,000 a mi PayPal. Estoy tan sorprendido de que funcione para mí.

Victoria Prieto
Victoria Prieto

Deja una respuesta

Tu dirección de correo electrónico no será publicada.