Problema de confirmação de dados na API Paypal permite acesso a contas bloqueadas

PayPal-authentication-bypass-vulnerability-comprimido (1)

O sistema de pagamento do PayPal é vulnerável à verificação de dados, o que pode permitir que qualquer pessoa ignore o filtro ou restrinja o serviço online e obtenha acesso a contas bloqueadas. A vulnerabilidade é encontrada no aplicativo móvel do PayPal, que não controla contas bloqueadas do serviço central.

Em um desktop ou laptop, quando o usuário digitar repetidamente o “nome de usuário” ou a “senha” incorretos, por motivos de segurança o PayPal bloqueará esta conta, até que o usuário responda a várias perguntas de redefinição e confirmação.

No entanto, se esse usuário tentar fazer login em sua conta do PayPal bloqueada temporariamente, com as credenciais corretas, de um aplicativo móvel oficial, ele obterá acesso a essa conta.

“O aplicativo apenas examina se a conta existe e não se está parcial ou completamente bloqueada. É muito provável que o usuário bloqueado tenha acesso à sua conta, seja capaz de enviar dinheiro e fazer qualquer transação a partir daí “, conforme está escrito no relatório da empresa sobre o ponto vulnerável do aplicativo.

Essa falha significativa de segurança foi descoberta há um ano por Benjamin Kunz Mejri e, como pesquisador responsável, ele imediatamente declarou suas descobertas ao PayPal, mas não apenas o problema não foi resolvido, mas o próprio Benjamin não foi pago pela descoberta. do. Embora ele tenha recebido uma nota crítica de 6,2 nesse ponto vulnerável, ele ainda não recebeu nenhuma identificação.

Benjamin Kunz Mejri chegou a publicar um vídeo em que costuma colocar os detalhes incorretos da entrada, a fim de bloquear sua conta no PayPal. Feito isso, o sistema pede que ele responda algumas perguntas de segurança para restaurar a conta.

Naquele momento, no entanto, usando seu dispositivo iOS, ele fez login, colocando a combinação certa de nome de usuário e senha e ganhou acesso à sua conta bloqueada.

Essa lacuna de segurança afeta o aplicativo no iOS – tanto no iPhone quanto no iPad -, pois não pode controlar mecanismos de segurança que não permitiriam o acesso a um computador. De acordo com o relatório de Benjamin, o iOS 4.6.0 e 5.8 tem esse problema.

A subsidiária do PayPal no eBay responde por mais de 148 milhões de contas em 26 moedas diferentes e 193 mercados globais, e lida com aproximadamente 9 milhões de pagamentos diários.