O Paypal emite um patch crítico para impedir que hackers roubem tokens oauth
Índice:
Vídeo: Hack paypal dinheiro infinito 2024
O OAuth serve como um padrão aberto para autenticação baseada em token empregada por muitos gigantes da Internet, incluindo o PayPal. É por isso que a descoberta de uma falha crítica no serviço de pagamentos on-line que poderia permitir que hackers roubassem tokens OAuth de usuários fez com que o PayPal tentasse implantar um patch.
Antonio Sanso, pesquisador de segurança e engenheiro de software da Adobe, descobriu a falha depois de testar seu próprio cliente OAuth. Além do PayPal, a Sanso também detectou a mesma vulnerabilidade em outros serviços importantes da Internet, como o Facebook e o Google.
Sanso diz que o problema está na maneira como o PayPal lida com o parâmetro redirect_uri para fornecer aos aplicativos certos tokens de autenticação. O serviço usa verificações de redirecionamento aprimoradas para confirmar o parâmetro redirect_uri desde 2015. Ainda assim, Sanso não impediu que essas verificações fossem ignoradas quando ele começou a investigar o sistema em setembro.
O PayPal permite que os desenvolvedores usem um painel que pode produzir solicitações de token para inscrever seus aplicativos no serviço. As solicitações de token resultantes são então enviadas para um servidor de autorização do PayPal. Agora, Sanso encontrou um erro em como o PayPal reconhece um host local como um parâmetro redirect_uri válido durante o processo de autenticação. Ele disse que esse método implementou incorretamente o OAuth.
Jogando o sistema de validação
Sanso passou a jogar no sistema de validação do PayPal e a revelar os tokens de autenticação OAuth confidenciais. Ele conseguiu enganar o sistema adicionando uma certa entrada de sistema de nome de domínio em seu site, observando que localhost serviu como a palavra mágica para substituir o processo exato de validação de correspondência do PayPal.
A vulnerabilidade pode ter comprometido qualquer cliente do PayPal OAuth, de acordo com Sanso. Ele aconselhou os usuários a criar um redirect_uri muito específico ao criar um cliente OAuth. Sanso escreveu em um post no blog:
Registre https: // yourouauthclientcom / oauth / oauthprovider / callback. NÃO APENAS https: // yourouauthclientcom / ou https: // yourouauthclientcom / oauth.
O PayPal não acreditou nas conclusões de Sanso no início, embora a empresa tenha reconsiderado sua decisão e agora tenha corrigido a falha.
Leia também:
- 7 melhores softwares de fatura do Windows 10 para usar
- A Carteira para Windows 10 Mobile traz pagamentos móveis sem contato para Insiders
Vulnerabilidade do Outlook permite que hackers roubem hashes de senha
O Microsoft Outlook é uma das plataformas de email mais populares do mundo. Pessoalmente, confio no meu endereço de e-mail do Outlook para tarefas pessoais e relacionadas ao trabalho. Infelizmente, o Outlook pode não ser tão seguro quanto os usuários gostariam de pensar. De acordo com um relatório publicado pelo Instituto de Engenharia de Software Carnegie Mellon, Outlook…
Swift implementa nova segurança para impedir ataques cibernéticos à medida que hackers ganham milhões
O SWIFT é um sistema que opera como um meio de comunicação entre bancos e entidades financeiras em todo o mundo. Ultimamente, o SWIFT tem sido alvo de ataques cibernéticos maciços que resultaram no roubo de mais de US $ 100 milhões, o que levou os responsáveis a tomar medidas e implementar novas medidas de segurança para…
O bug do gerenciador de senhas do Windows 10 permite que hackers roubem senhas
Tavis Ormandy, pesquisador de segurança do Google, descobriu recentemente uma vulnerabilidade à espreita no Gerenciador de Senhas do Windows 10. Esse bug permite que invasores cibernéticos roubem senhas. Essa falha vem com o aplicativo gerenciador de senhas do Keeper de terceiros que é pré-instalado em todos os dispositivos Windows 10. Parece que essa falha é bem parecida com a…
