هک کردن حساب PayPal تنها با یک کلیک

روش هک پی پال (Paypal)

یاسر علی، محقق امنیتی مصری، سه آسیب پذیری بحرانی را در وب سایت پی پال از جمله CSRF، تایید دور زدن توکن و بازنشانی سوال امنیتی شناسایی کرده است که می توانند توسط مجرمان اینترنتی در حملات هدفمند مورد استفاده قرار گیرند.

درخواست کراس سایت جعلی (CSRF یا XSRF) یک روش حمله به وب سایت است که در آن مهاجم، قربانی را  متقاعد می کند تا بر روی HTML دستکاری شده کلیک کند و به همین طریق از وی کلاه برداری می کند.

یاسر آسیب پذیری های مذکور را بصورت گام به گام در یک فیلم ویدئویی به نمایش در آورده و نوع استفاده از هر سه آسیب پذیری را بصورت دقیق نشان داده است. با توجه به این نسخه نمایشی، با استفاده از بهره برداریCSRF ، یک مهاجم قادر به مخفیانه کردن یک ID ایمیل ثانویه جدید و همچنین تنظیم مجدد پاسخ به سوالات امنیتی از حساب هدف است.

پی پال از نشانه های تایید امنیتی برای تشخیص درخواست های مشروع از صاحب حساب استفاده می کند، اما یاسر به راحتی توانسته از آن سوء استفاده کند و ضعف امنیتی آن را به تصویر بکشد.

تیم امنیتی پی پال ادعا می کند که آسیب پذیری های مذکور را بلافاصله پس از گزارش این محقق وصله کرده است. سه ماه پیش، یاسر اشکال مشابهی را در وب سایت eBay که به هکرها اجازه می داد تا هر حساب این وب سایت را فقط در 1 دقیقه هک کنند، گزارش کرده بود.