Kwetsbaarheid maakte uitvoeren van code via PayPal-bevestigingsmails mogelijk

De Duitse beveiligingsonderzoeker Benjamin Kunz Mejri heeft een kwetsbaarheid in het accountsysteem van PayPal vastgesteld, waarmee via bevestigings-e-mails kwaadaardige code verstuurd kon worden. Hij heeft dit via het bug bounty-programma gemeld.

Paypal logoOm de kwaadaardige e-mails te versturen maakte Mejri gebruik van een bestaand PayPal-account. De kwetsbaarheid bestond daarin, dat hij willekeurige code kon invullen in het veld waar de naam van de accounthouder hoort te staan. Daarvoor was het wel nodig om eerst een filter te omzeilen. Vervolgens maakte hij gebruik van de functie om een PayPal-account te delen met anderen door verschillende e-mailadressen toe te voegen.

De ingevulde adressen kregen daardoor een e-mail toegestuurd, waarin werd gevraagd om de toevoeging te bevestigen. Als de gebruiker de mail opende werd de kwaadaardige code vanaf de servers van PayPal uitgevoerd.

Op die manier was het mogelijk om onder andere phishing-aanvallen uit te voeren, met het voordeel dat de e-mails afkomstig waren van het officiële PayPal-domein. Ook was er session hijacking en omleiding naar andere pagina's mogelijk. De kwetsbaarheid is begin maart opgeheven en Mejri ontving 1000 dollar voor zijn melding, dat is omgerekend 880 euro.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 31-03-2016 11:3237

31-03-2016 • 11:32

37 Linkedin

Lees meer

PayPal klaagt Pandora aan wegens gelijkenis logo Nieuws van 23 mei 2017
Onderzoeker ontdekt kwetsbaarheid in PayPal Nieuws van 26 januari 2016
Onderzoekers: two factor-authenticatie PayPal was eenvoudig te omzeilen Nieuws van 25 juni 2014
Fraudeurs omzeilen beveiliging ING via Paypal Nieuws van 21 maart 2011
Paypal wil browsers zonder phishing-filter weren Nieuws van 18 april 2008
Meer producten en artikelen
Netwerk en systeembeheer Paypal Security

Reacties (37)

-Moderatie-faq
37
35
29
1
0
4
Wijzig sortering
Gijs007
31 maart 2016 11:36
880 euro voor het vinden van zoon belangrijke bug? Ze mogen wel wat meer uitgeven aan beloningen. Als blackhat hacker kan je hier veel meer mee verdienen. Zeker voor een bedrijf als PayPal zou dat geen probleem moeten zijn en het houd hun gebruikers ook een stuk veiliger als ze meer doen om het rapporteren van bugs aan te moedigen.

Het mag dan misschien een "eenvoudige/standaard XSS" aanval zijn, maar de beloning zou toch wat meer in verhouding met het risico mogen zijn IMO.

[Reactie gewijzigd door Gijs007 op 31 maart 2016 11:38]

Ibex
@Gijs00731 maart 2016 11:41
Da's inderdaad niet veel, maar het vergelijken met de zwarte markt is wel bizar. Als persoon ga je niet "opeens" besluiten om blackhat hacker te worden, maar dan wil je gewoon een probleem (helpen) oplossen. De beloning zal misschien meehelpen als motivatie, maar is niet bedoeld als _de_ motivator. De beloning dient voor een deel ook om mensen aan te sporen dat wanneer ze iets vinden, ze dit rapporteren in plaats van te verzwijgen.
Gijs007
@Ibex31 maart 2016 11:50
Het kan ook als motivatie voor blackhat hackers werken om het probleem te rapporteren, als het verschil in geschatte inkomsten tussen rapporteren en zwarte markt niet al te groot is dan zullen zij eerder geneigd zijn om het netjes te rapporteren. Immers lopen ze dan ook minder risico.

Dat zou de veiligheid van PayPal gebruikers dus ook ten goede komen.
Natuurlijk zal niet iedereen een dergelijke "logische" afweging maken en sommige mensen willen gewoon kwaad doen, maar het zal zeker helpen.

Bovendien is 880 euro is gewoon een kleine fooi voor PayPal at most, dat zal veel whitehat hackers zeker niet aanmoedigen om veel tijd in dit soort zaken te steken. Die moeten immers ook hun brood verdienen, en het is niet als of ze 10 tallen van deze bugs vinden in een korte periode.
Zenomyscus
@Gijs00731 maart 2016 12:03
<blockquote><div class="quote">Bovendien is 880 euro is gewoon een kleine fooi voor PayPal at most, dat zal veel whitehat hackers zeker niet aanmoedigen om veel tijd in dit soort zaken te steken. Die moeten immers ook hun brood verdienen, en het is niet als of ze 10 tallen van deze bugs vinden in een korte periode.</div></blockquote>Het is ook niet zo dat Paypal hun brood moet betalen. Men kiest er zelf voor een fout te zoeken of op onderzoek uit te gaan. Op deze manier doet het mij denken aan de mensen die de ruiten van een auto wassen en daarna om geld vragen. Zij leveren een dienst (in dit geval ongevraagd) en verwachten daar dan bedrag X voor te krijgen. In Nederland heerst vaak het idee dat voor elk werk een beloning moet zijn, maar zo werkt het niet. Ik kan het gras van de buurman ook wel even maaien, maar dan verwacht ik niet dat ik daar mijn brood van kan verdienen. En zo werkt dat in mijn ogen ook voor dit soort zaken. Het is leuk dat Paypal een beloning geeft, maar dat hoeven ze niet te doen. En ze hoeven er zeker niet voor te zorgen dat een whitehat hacker zijn brood kan verdienen.

Het is heel simpel, een whitehat hacker zal zijn tijd niet verdoen voor een minimale bijdrage. Het gevolg is dat Paypal de beloning omhoog kan doen en daardoor meer whitehat hackers aantrekt, òf Paypal doet dat niet en ze hebben mogelijk een lek systeem (waarvan de gevolgen voor Paypal zijn).

[Reactie gewijzigd door Zenomyscus op 31 maart 2016 12:05]

Xanaroth
@Zenomyscus31 maart 2016 12:11
Het is eerder juist exact het tegenovergestelde. Grote en gevoelige diensten, zoals PayPal, horen gewoon een zwaar bug-bounty programma te hebben met bedragen van 10k of meer.

Simpelweg omdat de complete bedrijfsvoering daar valt of staat met de veiligheid, en de (potentiële) kosten bij hacks enorm zijn gezien ze een financiële dienst verlenen.
Elke hack die niet gefixed wordt kan makkelijk voor miljoenen aan schade zorgen, en in dat opzicht mag de reward ook proportioneel zijn.


edit: zie net dat ze inderdaad een volwaardig programma hebben met rewards tot 10k afhankelijk van het soort lek. Alleen dan nog staat het totaal niet in verhouding met de risico's en kosten bij het niet melden van een lek.

https://www.paypal.com/we...ty-issues#bounty-payments

[Reactie gewijzigd door Xanaroth op 31 maart 2016 12:16]

David Mulder
@Xanaroth31 maart 2016 12:24
Naja, we hebben het hier over gray hat hackers, Paypal heeft ook gewoon een volwaardig team van white hat hackers in dienst waarschijnlijk die gewoon full time bezig zijn met de security van Paypal. Als gray-hat hacker is het niet dat je betaald krijgt voor je werk, maar eerder een bedankje. 1000 dollar voor een XSS lek vind ik best prima. Toen ik Tweakers van een XSS lek op de hoogte bracht kreeg ik niks :+ .
Rule
@David Mulder31 maart 2016 12:48
Het hacken van tweakers heeft ook geen financiele en persoonlijke gevolgen :Y)
fantafriday
@Rule31 maart 2016 14:24
Mail addressen en rekeningnummers moeten toch ergens staan van leden en betalende leden he ;)
Zezura
@David Mulder31 maart 2016 13:38
Als in je browser openen, en zo maar wat proberen, totdat je iets vind en het melden aan tweakers.
mashell
@Gijs00731 maart 2016 14:03
<blockquote><div class="quote">dat zal veel whitehat hackers zeker niet aanmoedigen om veel tijd in dit soort zaken te steken. Die moeten immers ook hun brood</div></blockquote>Dat doen ze ook gewoon met hun day job. Het is immers niet dat iemand een stel hackers gaat zitten betalen om de investering via vindersloon weer terug te verdienen.
434365
@Ibex31 maart 2016 18:50
Er zijn genoeg verhalen van mensen die 4-5 keer een bug melden waar vervolgens niets mee word gedaan, en die mensen houden het op een gegeven moment voor gezien, en zijn dan soms zo beledigd dat er niets mee word gedaan dat ze de details publiekelijk online zetten, en soms zelfs verkopen.
FatalZero
@Gijs00731 maart 2016 11:50
Alles draait om verhoudingen. Naar het schijnt is het een vrij 'standaard' XSS aanval. Daarnaast is 1000 dollar geen kleingeld. Voor een hoop mensen is dit minstens een kwart maandsalaris.

Hoeveel tijd heeft Dhr. Mejri hier ingestoken?
twicejr
@FatalZero31 maart 2016 11:53
Voor de meeste mensen is dat minstens de helft!
Gijs007
@twicejr31 maart 2016 11:56
Niet als je ook secondaire arbeidsvoorwaarden, pensioenopbouw en dergelijke mee rekent.
Daarnaast zal van dit bedrag nog wel inkomsten belasting afgaan ;)
David Mulder
@Gijs00731 maart 2016 11:39
Kun je er meer mee verdienen als blackhat hacker? Zeker, maar tegelijk loop je ook het risico natuurlijk om gepakt te worden. Zoals bijna altijd met criminele zaken: Het verdient beter, maar het risico is ook veel veel groter.
breezie
@Gijs00731 maart 2016 11:45
Ik vind 800€ eigenlijk ook maar een magere beloning. Toch zeker als je dit vergelijkt met de bug bounty-programma's van bvb. Facebook of Google.
biglia
@Gijs00731 maart 2016 13:06
880€ is inderdaad een peulschil. De volgende keer moet hij nieuwe ontdekkingen maar direct op zijn blog gooien zonder het vooraf te melden aan Paypal. Laat het Paypal team dan maar zweten voor hun loon.
David Mulder
31 maart 2016 11:35
Begrijp ik nou goed dat dit gewoon om een volledig standaard XSS aanval ging?
ocwil
@David Mulder31 maart 2016 11:46
Niet helemaal.

De email lees je natuurlijk wel op "hotmail.com" maar de html content in de email komt in zijn geheel gewoon van paypal.com in dit geval, inclusief de malafide code.
David Mulder
@ocwil31 maart 2016 12:20
Maar de code zit toch niet in de email? Die staat zover ik begrijp gewoon op de website en het enige 'aparte' is dat je ook nog een officiële mail kunt generen die daarnaar toe linkt. Maar goed, genoeg XSS aanvallen zijn gewoon zonder mail te doen, dus wat dat betreft is het niet al te speciaal.
ocwil
@David Mulder31 maart 2016 12:24
Als je het linkje volgt in het artikel en dan iets verderop leest dan zit de malafide code gewoon in de email.<blockquote><div class="quote">Confirm your email address ...
Hello %20%20%20%20"><[PERSISTENT INJECTED SCRIPT CODE VULNERABILITY VIA OWNERNAME!]iframe src="a" onload="alert("VL")" <,<="" p=""><p>Confirm your email address</div></blockquote>
David Mulder
@ocwil31 maart 2016 12:33
Ah, je hebt gelijk, wat een nutteloze aanval dan, want het grootste voordeel van XSS aanvallen is dat je op hetzelfde domein zit. Hier zit je dus in de context van een email. Snap alleen nog steeds niet hoe je hiermee een sessie kunt hijacken, het grootste nut hiervan is dat je geweldige phishing aanvallen kunt doen. Snap alleen nog steeds niet hoe je hiermee een sessie zou kunnen hijacken. Het cookie object in de email is niet dezelfde als die van het paypal domein... :?
Zezura
@David Mulder31 maart 2016 13:41
Als je op de Paypal link klikt en je gaat Naar Paypal dan heb je daar een mogelijke hijack dacht ik.
eM.
@David Mulder31 maart 2016 14:16
Ik kan het eerlijk gezegd ook nog niet helemaal volgen. De mail client zal iframes of javascript alsnog 'blokkeren'. Erg netjes is het niet natuurlijk.
pim
31 maart 2016 12:41
<blockquote><div class="quote">De kwetsbaarheid is begin maart opgeheven en Mejri ontving 1000 dollar voor zijn melding</div></blockquote>Het had Paypal heel wat meer gekost als een iemand met slechte bedoelingen deze kwetsbaarheid ontdekt had.
Deze beloning komt over alsof het niet erg belangrijk voor ze was.
Somoghi
@mashell31 maart 2016 16:04
Hoezo MAG je dit niet doen? Hoe was dit lek anders gevonden? Zolang je het maar meldt als je een lek vindt en er geen misbruik van maakt.
Een soort vindersloon is dan inderdaad wel op zijn plek.

@ hieronder; hoezo wordt hier ingebroken? Ja er wordt code uitgevoerd of 🔗 naar, met een email van paypal zelf. Dat is in mijn ogen wel misbruik, maar geen inbraak. In mijn boekje valt dit onder phising.

Dit geval zie ik als door de niet afgesloten deur van de buurman schreeuwen, hè buurman uw deur is niet op slot, denk eraan, er wordt veel ingebroken in deze buurt! Een goede buurman schreeuwt dan ook terug, dank buurman!

[Reactie gewijzigd door Somoghi op 31 maart 2016 16:18]

mashell
@Somoghi31 maart 2016 16:09
Hoezo MAG je dit niet doen? Hoe was dit lek anders gevonden?
Het lek was helemaal niet gevonden als de hacker de eigenlijk verboden computer vredebreuk niet had uitgevoerd. Proberen binnen te dringen mag gewoon niet, het wordt gedoogd als het gemeld wordt. Bedrijven geven soms dankbaar een vindersloon voor het melden van het lek. Maar het actief zoeken naar zo'n lek is onder de huidige wetgeving, als je het niet in opdracht van de onderzochte partij doet, eigenlijk niet eens toegestaan.
livePulse
@mashell1 april 2016 10:31
Computervredebreuk? Het originele bericht meldt dat er een speciaal account is opgezet om eea te testen. Lijkt me dan geen computervredebreuk. Toch?
mashell
@livePulse1 april 2016 10:33
Tuurlijk wel. Er wordt zich toegang verschaft tot data op een manier die niet zo bedoeld is. Als er geen opdracht van Paypal aan ten gronde lag is het gewoon computervredebreuk.
Zarc.oh
@mashell1 april 2016 16:43
If you discover a site or product vulnerability please notify us using the guidelines below.
Het mag van Paypal, zie hebben een Bug Bounty Program opgezet.
Anoniem: 167912
@Somoghi31 maart 2016 16:15
Hoezo MAG je dit niet doen?
omdat dat zo in de wetgeving staat van verschillende landen.
Oa. hier in .be is het in principe verboden om ongevraagd in te breken op iemands computer, of je goede bedoelingen hebt of niet maakt niet uit voor de wetgever.
rem_hopster
31 maart 2016 14:09
@all,

Misschien offtopic, maar "Om de kwaadaardige e-mails te versturen maakte Mejri gebruik van een bestaand PayPal-account."

het account dat gebruikt wordt in het filmpje inclusief wachtwoord is voor iedereen te gebruiken nu lijkt mij. Is dat niet iets wat gek is?

[Reactie gewijzigd door rem_hopster op 31 maart 2016 14:20]

Anoniem: 451893
31 maart 2016 12:24
Ik snap niet dat mensen zomaar overal op klikken.

[Reactie gewijzigd door Anoniem: 451893 op 31 maart 2016 14:17]

AnonymousWP
31 maart 2016 13:46
Het is dat ik voor het kopen van een OnePlus toestel, een PayPal account nodig had.. anders had ik het nooit aangemaakt. Onveilig en ik heb geen zin om overal tig accounts voor te moeten hebben. Maarja, dat is de schuld van OnePlus.

880 euro vind ik wel wat weinig voor zo'n kritiek lek. Als ze een keer gehackt worden, hoop ik dat ze er spijt van krijgen. Zulke grote bedrijven hebben genoeg geld om wat rijkelijkere beloningen te geven.
HMC
31 maart 2016 16:58
Ik kreeg dus PRECIES vandaag PRECIES zo'n Email van PayPal. Meteen weggegooid, maar omdat 'ie in mijn Hotmail bovenaanstond heb ik deze dus wel "geopend". . Ik vertrouwde het al helemaal niet, maar nu lees ik hier dat openen van de mail genoeg is.

Advies? Avast ziet nets.
Edit: Oooh, mail openen als in de link volgen. Ja, dat moet je inderdaar niet doen.
Beetje ongelukkig opgeschreven, maar wel correct.
Beter: Niet op link klikken!

[Reactie gewijzigd door HMC op 31 maart 2016 17:54]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee