Paypal emet parcel·les crítics per evitar que els pirates informàtics robin fitxes personals

Taula de continguts:

Vídeo: Els taxistes d’Eivissa denuncien que hi ha més pirates i que fan un 15% menys de caixa 2024

Vídeo: Els taxistes d’Eivissa denuncien que hi ha més pirates i que fan un 15% menys de caixa 2024
Anonim

OAuth serveix d’estàndard obert per a l’autenticació basada en token utilitzada per molts gegants d’internet, inclòs PayPal. És per això que el descobriment d’un defecte crític en el servei de pagaments en línia que podria haver permès als pirates informàtics robar les fitxes OAuth dels usuaris ha enviat a PayPal escorcolls per desplegar un pegat.

Antonio Sanso, investigador en seguretat i enginyer en programari Adobe, va descobrir el defecte després de provar el seu propi client OAuth. A més de PayPal, Sanso també va detectar la mateixa vulnerabilitat en altres serveis d’internet importants com Facebook i Google.

Sanso diu que el problema rau en la forma en què PayPal gestiona el paràmetre redirect_uri per proporcionar a les aplicacions certs fitxes d'autenticació. El servei fa servir controls de redirecció millorats per confirmar el paràmetre redirect_uri des del 2015. Tot i això, Sanso no va impedir passar aquestes comprovacions quan va començar a investigar el sistema al setembre.

PayPal permet als desenvolupadors utilitzar un tauler de control que pot produir sol·licituds de testimoni per inscriure les seves aplicacions amb el servei. Les sol·licituds de testimoni resultants s’envien a un servidor d’autorització de PayPal. Ara, Sanso va trobar un error en la forma en què PayPal reconeix un localhost com a paràmetre redirect_uri vàlid durant el procés d'autenticació. Va dir que aquest mètode va implementar erròniament OAuth.

Joc del sistema de validació

A continuació, Sanso va passar al sistema de validació de PayPal del joc i va demostrar que els testimonis d’autenticació OAuth confidencials. Va aconseguir enganyar el sistema afegint una entrada del sistema de noms de domini al seu lloc web, assenyalant que localhost servia com a paraula màgica per superar el procés de validació de coincidències exactes de PayPal.

La vulnerabilitat podria haver compromès qualsevol client de PayPal OAuth segons Sanso. Va aconsellar als usuaris que creessin un redirect_uri molt específic quan fan un client OAuth. Sanso va escriure en una publicació al bloc:

Registreu-vos https: // yourouauthclientcom / oauth / oauthprovider / callback. NO SÓN https: // yourouauthclientcom / o https: // yourouauthclientcom / oauth.

PayPal no va creure al principi les conclusions de Sanso, tot i que la companyia va tornar a considerar la seva decisió i ara va emetre una correcció al defecte.

Llegiu també:

  • 7 millor programari de facturació de Windows 10 a utilitzar
  • La cartera per a Windows 10 Mobile aporta pagaments mòbils sense contacte a Insiders
Paypal emet parcel·les crítics per evitar que els pirates informàtics robin fitxes personals