PayPal betaalt een hacker $ 200.000 voor het ontdekken van een ‚One-Click-Hack‘-kwetsbaarheid

PayPal verse 200 000 $ à un pirate informatique pour avoir découvert la vulnérabilité « One-Click-Hack » Nachrichten

Een beveiligingsonderzoeker onthulde details van een clickjacking-aanval die tegen PayPal was aangetoond en die zou kunnen worden misbruikt om met één klik de rekeningsaldi van slachtoffers te stelen.

Clickjacking, ook wel genoemd UI herstellenverwijst naar een techniek waarbij een onwetende gebruiker wordt misleid om op schijnbaar onschuldige webpagina-elementen zoals knoppen te klikken met als doel malware te downloaden, door te verwijzen naar kwaadaardige websites of gevoelige informatie vrij te geven.

Dit wordt meestal bereikt door een onzichtbare pagina of HTML-element bovenop de zichtbare pagina weer te geven, wat resulteert in een scenario waarin gebruikers voor de gek worden gehouden door te denken dat ze op de legitieme pagina klikken, terwijl ze in feite op het frauduleuze element klikken dat erop is gelegd.

„De aanvaller ‚kaapt‘ dus klikken die bedoeld zijn voor [the legitimate] pagina en routeren ze naar een andere pagina, hoogstwaarschijnlijk eigendom van een andere applicatie, domein of beide,“ beveiligingsonderzoeker h4x0r_dz schreef in een bericht waarin de bevindingen worden gedocumenteerd.

h4x0r_dz, die het probleem ontdekte op de „www.paypal[.]com/agreements/approve“-eindpunt, ontving in oktober 2021 een premie van $ 200.000 voor het ontdekken en rapporteren van het probleem.

„Dit eindpunt is ontworpen voor factureringsovereenkomsten en zou alleen billingAgreementToken moeten accepteren“, legt de onderzoeker uit. „Maar tijdens mijn diepgaande tests ontdekte ik dat we een ander type token kunnen passeren, en dit leidt tot het stelen van geld van [a] PayPal-account van het slachtoffer.“

Dit betekent dat een tegenstander het bovengenoemde eindpunt kan insluiten in een iframewaardoor een slachtoffer dat al bij een webbrowser was ingelogd, met één druk op de knop geld overmaakt naar een door een aanvaller gecontroleerde PayPal-rekening.

Nog zorgwekkender is dat de aanval rampzalige gevolgen had kunnen hebben voor online portals die integreren met PayPal voor checkouts, waardoor de kwaadwillende persoon willekeurige bedragen van de PayPal-rekeningen van gebruikers kan afschrijven.

„Er zijn online services waarmee je saldo met PayPal aan je account kunt toevoegen“, zei h4x0r_dz. „Ik kan dezelfde exploit gebruiken en de gebruiker dwingen geld aan mijn account toe te voegen, of ik kan deze bug misbruiken en het slachtoffer een Netflix-account voor mij laten maken/betalen!“

David
Rate author
Hackarizona