PayPal je pun bezbednosnih propusta, ali kažnjava ljude koji ukazuju na njih

Naplaćivanje putem PayPal-a je u Srbiji omogućeno pre pet godina, što je bila veoma bitna vest za domaće preduzetnike. Do tada su se mnogi domaći startapi registrovali u inostranstvu upravo zbog nemogućnosti naplate preko PayPal-a.

Uprkos svom značaju, ova kompanija je od osnivanja trpela veliki broj kritika, a najveće su one koje se tiču bezbednosti. Preciznije, kritičari tvrde da platforma ne pruža ništa od sigurnosti koje banke pružaju, iako se ponaša kao banka.

Dobra praksa svake velike kompanije, pogotovo onih koje se bave novčanim transakcijama, jeste da redovno traže rupe u svojim sistemima kako bi ih što pre zakrpile. Pošto je zbog resursa praktično nemoguće da to rade samostalno, uglavnom unajmljuju spoljne saradnike koji su specijalizovani za obavljanje ove vrste zadataka.

Platforma sa kojom se PayPal dogovorio da im pomogne je HackerOne, koja spaja biznise i lovce na bagove. Jednostavno, hakeri traže ranjive tačke na određenoj platformi za šta dobijaju novčane nagrade u odnosu na ozbiljnost baga koji su našli, a HackerOne ih rangira po reputaciji. Međutim, kao što PayPal trpi kritike zbog svojih bezbednosnih propusta, HackerOne povremeno optužuju za nemoralne poslovne prakse.

Kako veliki broj firmi i pojedinaca kod nas koristi PayPal, platformu koja drži velike količine novčanih sredstava svojih klijenata, istraživanje koje su sproveli analitičari Cybernews-a se tiče svih nas. Oni su otkrili da postoje rupe koje omogućavaju gotovo svakome da provali kroz sistem autentifikacije ili da pošalju maliciozni kod kroz SmartChat sistem.

Kada su to predočili HackerOne-u, naišli su na konstantna odlaganja, zaposlene koji im ne odgovaraju, a na kraju i snižavanje reputacije na platformi. Pokušali su da se obrate i direktno PayPal-u, ali su kao odgovor dobijali samo generičke mejlove.

Šest ranjivih tačaka PayPal-a

Cybernews je poređao bezbednosne propuste od najvećeg do najmanjeg, uz objašnjenja kako to može da utiče na krajnjeg korisnika.

Zaobilaženje sistema za autentifikaciju

Koristeći verziju 7.16.1 PayPal-a za Android, tim Cybernews-a je uspeo da zaobiđe verifikaciju preko telefona ili mejla (2FA). Njihov 2FA, koji su nazvali Authflow, uobičajeno se pokreće kada se korisnik prijavi na nalog preko novog uređaja, lokacije ili IP adrese.

Istraživači su koristili PayPal mobilnu aplikaciju i Charles Proxy za debugging. Kroz niz koraka, koje nisu želeli da otkriju zbog toga što problem još uvek nije zakrpljen, uspeli su da dobiju token sa svim vrednostima potrebnim za pristupanje nalogu. Kako kažu, proces je vrlo jednostavan i traje najviše nekoliko minuta, a omogućava hakerima da lako pristupe nalozima korisnika.

Ukradene akreditacije potrebne za pristupanje PayPal nalozima se na crnoj berzi prodaju za samo 1,5 dolara. Razlog tome je što je vrlo teško provaliti u naloge samo pomoću ovih informacija, jer je upravo Authflow zadužen da detektuje i blokira sumnjive pokušaje pristupanja.

Međutim, pomoću zaobilaženja 2FA-a koje su istraživači postigli, preksače se i ova prepreka. Svi koji žele mogu da kupe veliki broj akreditacija, prijave se, a onda zaobiđu i 2FA, tako da u roku od par minuta imaju potpunu kontrolu nad nalogom.

Varanje sistema za verifikaciju preko telefona

PayPal je nedavno uveo sistem pomoću koga proverava da li je telefonski broj registrovan pod istim imenom kao vlasnik naloga. Kada korisnik registruje novi broj telefona, pravi se poziv ka api-m.paypal.com, koji onda šalje status potvrde telefona. Tim je uspeo vrlo lako da promeni ovaj poziv i da natera PayPal da potvrdi telefon. Ovo je moguće postići čak i na već registrovanim nalozima.

Ovaj bezbednosni propust može da se iskoristi na mnogo načina, ali je najočigledniji onaj da je prevarantima lako da naprave lažne naloge, pogotovo zato što nije potrebno da dobiju potvrdu u vidu SMS poruke.

Sigurnost prilikom slanja para

PayPal je postavio određene sigurnosne mere kako bi se sprečili maliciozni napadi. Jedna od njih se pokreće kada se ispuni bar jedan od sledećih uslova, posle čega platforma može da vam javi da je došlo do greške:

• Korišćenje novog uređaja
• Pokušaj plaćanja sa nove lokacije ili IP adrese
• Promena uobičajenog načina plaćanja
• Korišćenje novih naloga

Međutim, Cybernews tim je otkrio da je bezbednosni sistem za slanje novca osetljiv na sirove napade u kojima se šalje veliki broj šifara u nadi da će jedna biti prava. Slično prvom problemu, napadač koji ima pristup podacima koje je lako kupiti na crnoj berzi i na ovaj način može dobiti pun pristup nalozima.

Promena imena korisnika

Uobičajeno, PayPal korisnicima dozvoljava da promene jedno do dva slova u imenu, uglavnom zbog grešaka u kucanju. Nakon toga, opcija za menjanje imena nestaje. Ipak, upravo ovo su istraživači uspeli da zaobiđu.

Oni su otkrili da mogu da „uhvate” zahtev i ponove ga nekoliko puta menjanjem po dva slova. Tako su uspeli da potpuno promene ime korisnika, bez bilo kakve verifikacije. Pritom su otkrili da je moguće i koristiti unicode simbole, uključujući emodžije.

Na ovaj način napadač, koji ima u posedu ukradene informacije, može da promeni ime nosioca naloga. Kada u potpunosti izgubi kontrolu nad nalogom, pravi vlasnik ne može da je povrati jer se više ime ne poklapa sa zvaničnim dokumentima.

SmartChat u sebi sadrži XSS ranjivost

SmartChat je PayPal servis koji korisnicima omogućava da nađu odgovore na najčešće postavljana pitanja. Istraživači su otkrili da SmartChat ne proverava tekst koji korisnici pišu, pa su uspeli da iskoriste man-in-the-middle proxy da „zarobe” saobraćaj koji ide ka PayPal serverima i prikače svoj maliciozni kod.

To znači da svako može da napiše maliciozni kod u čet sistem, a PayPal će ga izvršiti. Napadač na ovaj način može da zarobi kolačiće sesije koju je imao agent iz službe za podršku i da pristupi njihovom nalogu. Posle toga, napadač može da se prijavi pod njegovim imenom, da se lažno predstavi i da dobije osetljive informacije od PayPal korisnika.

XSS postoji i u sigurnosnim pitanjima

Ova ranjivost je slična prethodnoj, a istraživači su i ovde koristili man-in-the-middle metodu. Napadači mogu da ubace skriptu u tuđe naloge i dobiju osetljive podatke. Koristeći prvu pomenutu ranjivost, napadač može da ubaci kod koji kasnije može da se pokrene na bilo kom računaru kada se žrtva prijavi na svoj nalog.

Ovo su neke od stvari koje mogu da se dese:

• Pojavljivanje lažnog pop-up prozora koji nudi da se skine „nova PayPal aplikacija” koja je u stvari malware.
• Menjanje teksta koji žrtva piše. Na primer, napadač može da promeni mejl adresu na koju se šalje novac.
• Beleženje tastera koje je korisnik pritiskao kada je unosio informacije sa kreditne kartice.

Pored ovih, postoji još mnogo načina na koje ova rupa može da se iskoristi.

Običaj PayPal-a da zataškava probleme

Sve ove bezbednosne rupe tim Cybernews-a je prijavio PayPal-u preko HackerOne-a, ali nisu dobili priznanje za svoj trud. Zapravo, njihova reputacija na HackerOne-u je snižena jer su, navodno, prijavljivali lažne bagove.

Međutim, ova praksa uopšte nije nova za PayPal. Robert Kugler, 17-godišnji student iz Nemačke je 2013. godine obavestio kompaniju o velikom bagu koji je našao, ali su oni odbili da mu isplate nagradu jer je bio maloletan.

Još jedan 17-godišnjak, Džošua Rodžers, objavio je kako je vrlo lako zaobišao 2FA metodu. Tada je rekao kako PayPal nije odgovorio posle brojnih pokušaja da im skrene pažnju na problem. Tek kada je prošlo izvesno vreme, PayPal je priznao da postoji problem, ali je umanjio njegov značaj, i rešio ga bez priznavanja pomoći od strane Rodžersa.

Ostaje da se vidi da li će, i na koji način, rešiti probleme na koje im je pažnju skrenuo Cybernews.