Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 37 reacties

De Duitse beveiligingsonderzoeker Benjamin Kunz Mejri heeft een kwetsbaarheid in het accountsysteem van PayPal vastgesteld, waarmee via bevestigings-e-mails kwaadaardige code verstuurd kon worden. Hij heeft dit via het bug bounty-programma gemeld.

Paypal logoOm de kwaadaardige e-mails te versturen maakte Mejri gebruik van een bestaand PayPal-account. De kwetsbaarheid bestond daarin, dat hij willekeurige code kon invullen in het veld waar de naam van de accounthouder hoort te staan. Daarvoor was het wel nodig om eerst een filter te omzeilen. Vervolgens maakte hij gebruik van de functie om een PayPal-account te delen met anderen door verschillende e-mailadressen toe te voegen.

De ingevulde adressen kregen daardoor een e-mail toegestuurd, waarin werd gevraagd om de toevoeging te bevestigen. Als de gebruiker de mail opende werd de kwaadaardige code vanaf de servers van PayPal uitgevoerd.

Op die manier was het mogelijk om onder andere phishing-aanvallen uit te voeren, met het voordeel dat de e-mails afkomstig waren van het officiële PayPal-domein. Ook was er session hijacking en omleiding naar andere pagina's mogelijk. De kwetsbaarheid is begin maart opgeheven en Mejri ontving 1000 dollar voor zijn melding, dat is omgerekend 880 euro.

Moderatie-faq Wijzig weergave

Reacties (37)

880 euro voor het vinden van zoon belangrijke bug? Ze mogen wel wat meer uitgeven aan beloningen. Als blackhat hacker kan je hier veel meer mee verdienen. Zeker voor een bedrijf als PayPal zou dat geen probleem moeten zijn en het houd hun gebruikers ook een stuk veiliger als ze meer doen om het rapporteren van bugs aan te moedigen.

Het mag dan misschien een "eenvoudige/standaard XSS" aanval zijn, maar de beloning zou toch wat meer in verhouding met het risico mogen zijn IMO.

[Reactie gewijzigd door Gijs007 op 31 maart 2016 11:38]

Da's inderdaad niet veel, maar het vergelijken met de zwarte markt is wel bizar. Als persoon ga je niet "opeens" besluiten om blackhat hacker te worden, maar dan wil je gewoon een probleem (helpen) oplossen. De beloning zal misschien meehelpen als motivatie, maar is niet bedoeld als _de_ motivator. De beloning dient voor een deel ook om mensen aan te sporen dat wanneer ze iets vinden, ze dit rapporteren in plaats van te verzwijgen.
Het kan ook als motivatie voor blackhat hackers werken om het probleem te rapporteren, als het verschil in geschatte inkomsten tussen rapporteren en zwarte markt niet al te groot is dan zullen zij eerder geneigd zijn om het netjes te rapporteren. Immers lopen ze dan ook minder risico.

Dat zou de veiligheid van PayPal gebruikers dus ook ten goede komen.
Natuurlijk zal niet iedereen een dergelijke "logische" afweging maken en sommige mensen willen gewoon kwaad doen, maar het zal zeker helpen.

Bovendien is 880 euro is gewoon een kleine fooi voor PayPal at most, dat zal veel whitehat hackers zeker niet aanmoedigen om veel tijd in dit soort zaken te steken. Die moeten immers ook hun brood verdienen, en het is niet als of ze 10 tallen van deze bugs vinden in een korte periode.
<blockquote><div class="quote">Bovendien is 880 euro is gewoon een kleine fooi voor PayPal at most, dat zal veel whitehat hackers zeker niet aanmoedigen om veel tijd in dit soort zaken te steken. Die moeten immers ook hun brood verdienen, en het is niet als of ze 10 tallen van deze bugs vinden in een korte periode.</div></blockquote>Het is ook niet zo dat Paypal hun brood moet betalen. Men kiest er zelf voor een fout te zoeken of op onderzoek uit te gaan. Op deze manier doet het mij denken aan de mensen die de ruiten van een auto wassen en daarna om geld vragen. Zij leveren een dienst (in dit geval ongevraagd) en verwachten daar dan bedrag X voor te krijgen. In Nederland heerst vaak het idee dat voor elk werk een beloning moet zijn, maar zo werkt het niet. Ik kan het gras van de buurman ook wel even maaien, maar dan verwacht ik niet dat ik daar mijn brood van kan verdienen. En zo werkt dat in mijn ogen ook voor dit soort zaken. Het is leuk dat Paypal een beloning geeft, maar dat hoeven ze niet te doen. En ze hoeven er zeker niet voor te zorgen dat een whitehat hacker zijn brood kan verdienen.

Het is heel simpel, een whitehat hacker zal zijn tijd niet verdoen voor een minimale bijdrage. Het gevolg is dat Paypal de beloning omhoog kan doen en daardoor meer whitehat hackers aantrekt, Úf Paypal doet dat niet en ze hebben mogelijk een lek systeem (waarvan de gevolgen voor Paypal zijn).

[Reactie gewijzigd door Zenomyscus op 31 maart 2016 12:05]

Het is eerder juist exact het tegenovergestelde. Grote en gevoelige diensten, zoals PayPal, horen gewoon een zwaar bug-bounty programma te hebben met bedragen van 10k of meer.

Simpelweg omdat de complete bedrijfsvoering daar valt of staat met de veiligheid, en de (potentiŽle) kosten bij hacks enorm zijn gezien ze een financiŽle dienst verlenen.
Elke hack die niet gefixed wordt kan makkelijk voor miljoenen aan schade zorgen, en in dat opzicht mag de reward ook proportioneel zijn.


edit: zie net dat ze inderdaad een volwaardig programma hebben met rewards tot 10k afhankelijk van het soort lek. Alleen dan nog staat het totaal niet in verhouding met de risico's en kosten bij het niet melden van een lek.

https://www.paypal.com/we...ty-issues#bounty-payments

[Reactie gewijzigd door Xanaroth op 31 maart 2016 12:16]

Naja, we hebben het hier over gray hat hackers, Paypal heeft ook gewoon een volwaardig team van white hat hackers in dienst waarschijnlijk die gewoon full time bezig zijn met de security van Paypal. Als gray-hat hacker is het niet dat je betaald krijgt voor je werk, maar eerder een bedankje. 1000 dollar voor een XSS lek vind ik best prima. Toen ik Tweakers van een XSS lek op de hoogte bracht kreeg ik niks :+ .
Het hacken van tweakers heeft ook geen financiele en persoonlijke gevolgen :Y)
Mail addressen en rekeningnummers moeten toch ergens staan van leden en betalende leden he ;)
Als in je browser openen, en zo maar wat proberen, totdat je iets vind en het melden aan tweakers.
<blockquote><div class="quote">dat zal veel whitehat hackers zeker niet aanmoedigen om veel tijd in dit soort zaken te steken. Die moeten immers ook hun brood</div></blockquote>Dat doen ze ook gewoon met hun day job. Het is immers niet dat iemand een stel hackers gaat zitten betalen om de investering via vindersloon weer terug te verdienen.
Er zijn genoeg verhalen van mensen die 4-5 keer een bug melden waar vervolgens niets mee word gedaan, en die mensen houden het op een gegeven moment voor gezien, en zijn dan soms zo beledigd dat er niets mee word gedaan dat ze de details publiekelijk online zetten, en soms zelfs verkopen.
Alles draait om verhoudingen. Naar het schijnt is het een vrij 'standaard' XSS aanval. Daarnaast is 1000 dollar geen kleingeld. Voor een hoop mensen is dit minstens een kwart maandsalaris.

Hoeveel tijd heeft Dhr. Mejri hier ingestoken?
Voor de meeste mensen is dat minstens de helft!
Niet als je ook secondaire arbeidsvoorwaarden, pensioenopbouw en dergelijke mee rekent.
Daarnaast zal van dit bedrag nog wel inkomsten belasting afgaan ;)
Kun je er meer mee verdienen als blackhat hacker? Zeker, maar tegelijk loop je ook het risico natuurlijk om gepakt te worden. Zoals bijna altijd met criminele zaken: Het verdient beter, maar het risico is ook veel veel groter.
Ik vind 800§ eigenlijk ook maar een magere beloning. Toch zeker als je dit vergelijkt met de bug bounty-programma's van bvb. Facebook of Google.
880§ is inderdaad een peulschil. De volgende keer moet hij nieuwe ontdekkingen maar direct op zijn blog gooien zonder het vooraf te melden aan Paypal. Laat het Paypal team dan maar zweten voor hun loon.
Begrijp ik nou goed dat dit gewoon om een volledig standaard XSS aanval ging?
Niet helemaal.

De email lees je natuurlijk wel op "hotmail.com" maar de html content in de email komt in zijn geheel gewoon van paypal.com in dit geval, inclusief de malafide code.
Maar de code zit toch niet in de email? Die staat zover ik begrijp gewoon op de website en het enige 'aparte' is dat je ook nog een officiŽle mail kunt generen die daarnaar toe linkt. Maar goed, genoeg XSS aanvallen zijn gewoon zonder mail te doen, dus wat dat betreft is het niet al te speciaal.
Als je het linkje volgt in het artikel en dan iets verderop leest dan zit de malafide code gewoon in de email.<blockquote><div class="quote">Confirm your email address ...
Hello %20%20%20%20"><[PERSISTENT INJECTED SCRIPT CODE VULNERABILITY VIA OWNERNAME!]iframe src="a" onload="alert("VL")" <,<="" p=""><p>Confirm your email address</div></blockquote>
Ah, je hebt gelijk, wat een nutteloze aanval dan, want het grootste voordeel van XSS aanvallen is dat je op hetzelfde domein zit. Hier zit je dus in de context van een email. Snap alleen nog steeds niet hoe je hiermee een sessie kunt hijacken, het grootste nut hiervan is dat je geweldige phishing aanvallen kunt doen. Snap alleen nog steeds niet hoe je hiermee een sessie zou kunnen hijacken. Het cookie object in de email is niet dezelfde als die van het paypal domein... :?
Als je op de Paypal link klikt en je gaat Naar Paypal dan heb je daar een mogelijke hijack dacht ik.
Ik kan het eerlijk gezegd ook nog niet helemaal volgen. De mail client zal iframes of javascript alsnog 'blokkeren'. Erg netjes is het niet natuurlijk.
<blockquote><div class="quote">De kwetsbaarheid is begin maart opgeheven en Mejri ontving 1000 dollar voor zijn melding</div></blockquote>Het had Paypal heel wat meer gekost als een iemand met slechte bedoelingen deze kwetsbaarheid ontdekt had.
Deze beloning komt over alsof het niet erg belangrijk voor ze was.
Hoezo MAG je dit niet doen? Hoe was dit lek anders gevonden? Zolang je het maar meldt als je een lek vindt en er geen misbruik van maakt.
Een soort vindersloon is dan inderdaad wel op zijn plek.

@ hieronder; hoezo wordt hier ingebroken? Ja er wordt code uitgevoerd of 🔗 naar, met een email van paypal zelf. Dat is in mijn ogen wel misbruik, maar geen inbraak. In mijn boekje valt dit onder phising.

Dit geval zie ik als door de niet afgesloten deur van de buurman schreeuwen, hŤ buurman uw deur is niet op slot, denk eraan, er wordt veel ingebroken in deze buurt! Een goede buurman schreeuwt dan ook terug, dank buurman!

[Reactie gewijzigd door Somoghi op 31 maart 2016 16:18]

Hoezo MAG je dit niet doen? Hoe was dit lek anders gevonden?
Het lek was helemaal niet gevonden als de hacker de eigenlijk verboden computer vredebreuk niet had uitgevoerd. Proberen binnen te dringen mag gewoon niet, het wordt gedoogd als het gemeld wordt. Bedrijven geven soms dankbaar een vindersloon voor het melden van het lek. Maar het actief zoeken naar zo'n lek is onder de huidige wetgeving, als je het niet in opdracht van de onderzochte partij doet, eigenlijk niet eens toegestaan.
Computervredebreuk? Het originele bericht meldt dat er een speciaal account is opgezet om eea te testen. Lijkt me dan geen computervredebreuk. Toch?
Tuurlijk wel. Er wordt zich toegang verschaft tot data op een manier die niet zo bedoeld is. Als er geen opdracht van Paypal aan ten gronde lag is het gewoon computervredebreuk.
If you discover a site or product vulnerability please notify us using the guidelines below.
Het mag van Paypal, zie hebben een Bug Bounty Program opgezet.
Hoezo MAG je dit niet doen?
omdat dat zo in de wetgeving staat van verschillende landen.
Oa. hier in .be is het in principe verboden om ongevraagd in te breken op iemands computer, of je goede bedoelingen hebt of niet maakt niet uit voor de wetgever.
@all,

Misschien offtopic, maar "Om de kwaadaardige e-mails te versturen maakte Mejri gebruik van een bestaand PayPal-account."

het account dat gebruikt wordt in het filmpje inclusief wachtwoord is voor iedereen te gebruiken nu lijkt mij. Is dat niet iets wat gek is?

[Reactie gewijzigd door rem_hopster op 31 maart 2016 14:20]

Ik snap niet dat mensen zomaar overal op klikken.

[Reactie gewijzigd door martin.M op 31 maart 2016 14:17]

Het is dat ik voor het kopen van een OnePlus toestel, een PayPal account nodig had.. anders had ik het nooit aangemaakt. Onveilig en ik heb geen zin om overal tig accounts voor te moeten hebben. Maarja, dat is de schuld van OnePlus.

880 euro vind ik wel wat weinig voor zo'n kritiek lek. Als ze een keer gehackt worden, hoop ik dat ze er spijt van krijgen. Zulke grote bedrijven hebben genoeg geld om wat rijkelijkere beloningen te geven.
Ik kreeg dus PRECIES vandaag PRECIES zo'n Email van PayPal. Meteen weggegooid, maar omdat 'ie in mijn Hotmail bovenaanstond heb ik deze dus wel "geopend". . Ik vertrouwde het al helemaal niet, maar nu lees ik hier dat openen van de mail genoeg is.

Advies? Avast ziet nets.
Edit: Oooh, mail openen als in de link volgen. Ja, dat moet je inderdaar niet doen.
Beetje ongelukkig opgeschreven, maar wel correct.
Beter: Niet op link klikken!

[Reactie gewijzigd door HMC op 31 maart 2016 17:54]

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True