一組研究人員發現了這些缺陷,並向 PayPal 報告了這些缺陷,但根據他們的說法,PayPal 的反應並不積極,甚至令人不快。
世界各地使用的線上支付服務,貝寶在黑客中的聲譽不如在普通公眾中的聲譽。 2013年,年僅17歲的德國人羅伯特·庫格勒(Robert Kugler)發現了一個嚴重缺陷,但藉口他沒有獲得多數票,沒有給他任何獎勵。已被授予。另一位同樣 17 歲的約書亞羅傑斯 (Joshua Rogers) 曾經表達過繞過雙重認證 (2FA) 的可能性。 PayPal 承認但淡化了該漏洞,然後修復了該漏洞,但沒有向該青少年提供賠償。今天,一組研究人員揭露了六個缺陷,並藉此機會與該平台算賬,但該平台拒絕任何對話。此外,它還使用 HackerOne 站點,該站點允許在站點之間建立通信道德駭客。後者的問題在於,分析師安全評估漏洞的人也對獎金感興趣錯誤賞金並可以挪用研究人員的工作。
暴露六大漏洞
我們不知道是誰的錯,但事實是發現的六個漏洞相當罕見。第一個允許您繞過識別令牌,當使用者從新裝置進行身份驗證時,該令牌會驗證對帳戶的存取 - 因此 2FA 已過時。第二個缺陷可讓您透過修改對 api-m.paypal.com 的呼叫來新增沒有 OTP(一次性密碼)的手機,以確認新裝置。
第三個漏洞允許研究人員進行字典攻擊(暴力攻擊)繞過阻止一個帳戶向另一個帳戶匯款的警告。第四個缺陷可讓您覆寫更改帳戶名字和姓氏字元的限制(預設情況下,由於拼字錯誤,PayPal 只允許使用者修改一個字母。第五個缺陷存在於 PayPal 的 SmartChat 的 XSS 中,最後第五種是前一種的變體,允許在安全問題中捕獲機密信息透過中間人攻擊。所有這些缺陷均由網路新聞。 PayPal 並未修正所有問題。
