חוקר אבטחת מידע אוסטרלי גילה פרצה במנגנון ההזדהות של שירות התשלומים PayPal. ניצול הפרצה עלול לאפשר לפורץ לבצע כל פעולה אשר מורשית למשתמש לגיטימי בשירות...
חוקר אבטחת המידע ג'ושוע רוג'רס גילה כי ניצול הפרצה עלול לאפשר לפורץ לשלוח סכומי כסף, לבצע תשלומים ולשנות את הגדרות החשבון אליו פרץ, כגון שינוי סיסמה ועוד.
עקיפת מנגנון ההזדהות אפשרית בשל הקשר אל חשבון eBay; מ-PayPal נמסר כי החברה מודעת לבעיה, וכי היא פועלת בכדי לתקן את הפרצה בהקדם האפשרי.
רוג'רס טוען כי יידע את החברה כבר בתחילת יוני אודות הפרצה, אולם מכיוון שלא בוצע כל תיקון, הוא החליט לפרסם את הפרטים אודותיה לקהל הרחב.
מקור הבעיה נעוץ בעובדה שלאחר ביצוע של כניסה (Login) ראשונה למערכת באמצעות שם משתמש וסיסמה, ניתן להיכנס שוב ושוב אל השירות ללא כל צורך בהקלדת פרטים חסויים אלו ישירות. זאת מכיוון שפונקציית רישום בסיסית אינה בודקת את פרטי המשתמש לאחר שביצע כניסה ראשונית.
הזדהות מאובטחת אל מול אתרי אינטרנט הינה נושא רגיש ובעייתי ביותר, בעיקר מכיוון שהמשתמשים/גולשים נוטים להניח שתהליכי ההזדהות - בעיקר באתרים גדולים וידועים - הינם בטוחים לשימוש, בעוד שבפועל המצב אינו תמיד כזה.
חברתנו מבצעת באופן שוטף מבדקי חדירה (Pen-Tests) מסוגים שונים ובהם בין השאר אנו משתמשים בטכניקות של Advanced SSL Hijacking ו-Advanced SSL Stripping אשר מאפשרות לנו לחשוף את העובדה שארגונים רבים אינם מספקים תהליכי הזדהות מאובטחים דיים - ועל כן עלולים לחשוף את לקוחותיהם לסיכוני גניבת זהות, חשיפת פרטים אישיים חסויים ועוד.
לידיעה המלאה - כאן