1. Casa
  2. Notícies
  3. Paypal emet parcel·les crítics per evitar que els pirates informàtics robin fitxes personals

Paypal emet parcel·les crítics per evitar que els pirates informàtics robin fitxes personals

Taula de continguts:

Vídeo: Els taxistes d’Eivissa denuncien que hi ha més pirates i que fan un 15% menys de caixa 2024

Vídeo: Els taxistes d’Eivissa denuncien que hi ha més pirates i que fan un 15% menys de caixa 2024
Anonim

OAuth serveix d’estàndard obert per a l’autenticació basada en token utilitzada per molts gegants d’internet, inclòs PayPal. És per això que el descobriment d’un defecte crític en el servei de pagaments en línia que podria haver permès als pirates informàtics robar les fitxes OAuth dels usuaris ha enviat a PayPal escorcolls per desplegar un pegat.

Antonio Sanso, investigador en seguretat i enginyer en programari Adobe, va descobrir el defecte després de provar el seu propi client OAuth. A més de PayPal, Sanso també va detectar la mateixa vulnerabilitat en altres serveis d’internet importants com Facebook i Google.

Sanso diu que el problema rau en la forma en què PayPal gestiona el paràmetre redirect_uri per proporcionar a les aplicacions certs fitxes d'autenticació. El servei fa servir controls de redirecció millorats per confirmar el paràmetre redirect_uri des del 2015. Tot i això, Sanso no va impedir passar aquestes comprovacions quan va començar a investigar el sistema al setembre.

PayPal permet als desenvolupadors utilitzar un tauler de control que pot produir sol·licituds de testimoni per inscriure les seves aplicacions amb el servei. Les sol·licituds de testimoni resultants s’envien a un servidor d’autorització de PayPal. Ara, Sanso va trobar un error en la forma en què PayPal reconeix un localhost com a paràmetre redirect_uri vàlid durant el procés d'autenticació. Va dir que aquest mètode va implementar erròniament OAuth.

Joc del sistema de validació

A continuació, Sanso va passar al sistema de validació de PayPal del joc i va demostrar que els testimonis d’autenticació OAuth confidencials. Va aconseguir enganyar el sistema afegint una entrada del sistema de noms de domini al seu lloc web, assenyalant que localhost servia com a paraula màgica per superar el procés de validació de coincidències exactes de PayPal.

La vulnerabilitat podria haver compromès qualsevol client de PayPal OAuth segons Sanso. Va aconsellar als usuaris que creessin un redirect_uri molt específic quan fan un client OAuth. Sanso va escriure en una publicació al bloc:

Registreu-vos https: // yourouauthclientcom / oauth / oauthprovider / callback. NO SÓN https: // yourouauthclientcom / o https: // yourouauthclientcom / oauth.

PayPal no va creure al principi les conclusions de Sanso, tot i que la companyia va tornar a considerar la seva decisió i ara va emetre una correcció al defecte.

Llegiu també:

  • 7 millor programari de facturació de Windows 10 a utilitzar
  • La cartera per a Windows 10 Mobile aporta pagaments mòbils sense contacte a Insiders

Els pirates informàtics asseguren que microsoft no pot revocar les polítiques d'arrencada segura filtrades

Els pirates informàtics asseguren que microsoft no pot revocar les polítiques d'arrencada segura filtrades

Al juliol, vam informar que Microsoft havia aconseguit arreglar una vulnerabilitat de seguretat important que hauria permès als pirates informàtics desbloquejar tauletes Windows RT i executar sistemes operatius no Windows. Segons informes recents, sembla que el pegat de seguretat no va tenir un èxit, encara que la vulnerabilitat encara es pot explotar. El firmware de Microsoft incorpora una funció anomenada Secure Boot que permet als dispositius ...

Com protegir els dispositius iot contra els pirates informàtics [5 mètodes]

Com protegir els dispositius iot contra els pirates informàtics [5 mètodes]

Ja heu sentit a parlar de l'Internet de les coses, però no esteu segur del que significa? Continua llegint per esbrinar què és IoT i per què s’ha de prendre seriosament ...

Els pirates informàtics poden explotar el mode segur a les finestres per llançar atacs de seguretat

Els pirates informàtics poden explotar el mode segur a les finestres per llançar atacs de seguretat

Quan penseu al mode segur, la vostra primera associació redueix el risc d’atacs maliciosos al vostre ordinador. Com que el mode segur només funciona amb programes de primera necessitat en Windows, s'utilitza sovint per solucionar diversos problemes de seguretat i altres sistemes. Tot i això, hi ha una contradicció. Tot i que el mode Safe Mode té com a finalitat proporcionar un entorn sense risc, ...

Paypal emet parcel·les crítics per evitar que els pirates informàtics robin fitxes personals

Selecció de l'editor

Solucionar
Arranjament: error del correu electrònic del Windows de Microsoft Windows 2002

Arranjament: error del correu electrònic del Windows de Microsoft Windows 2002

2024
Solucionar
Com solucionar problemes de la pantalla negra minecraft a Windows 10

Com solucionar problemes de la pantalla negra minecraft a Windows 10

2024
Solucionar
Solucionar: la descàrrega del servidor de minecraft no s’obre

Solucionar: la descàrrega del servidor de minecraft no s’obre

2024
Solucionar
Com solucionar errors comuns de minecraft a Windows 10, 8, 8.1

Com solucionar errors comuns de minecraft a Windows 10, 8, 8.1

2024
Solucionar
Miracast no és compatible amb els controladors gràfics de Windows 10 [arreglar]

Miracast no és compatible amb els controladors gràfics de Windows 10 [arreglar]

2024
Solucionar
No s'han complert els requisits mínims d'error de vapor [arreglat]

No s'han complert els requisits mínims d'error de vapor [arreglat]

2024