Un gruppo di hacker etici segnala le vulnerabilità, ma niente ricompensa come promesso dal programma di bug bounty. Al contrario, gli esperti sono stati screditati
I ricercatori del sito Cybernews hanno individuato 6 vulnerabilità di PayPal. Hanno avvisato la società di pagamenti digitali tramite il sistema di bug-bounty sulla piattaforma HackerOne, a cui molte aziende demandano il monitoraggio delle segnalazioni di bug. Ma al posto di essere ricompensati con il premio in denaro promesso, gli hacker etici sono rimasti con un pugno di mosche in mano.
Partiamo dal principio. Gli analisti hanno scoperto che si poteva bypassare l’autenticazione a due fattori che dovrebbe proteggere l’account di PayPal. In questo modo sono riusciti a effettuare in poco tempo un attacco del tipo “man in the middle”, frapponendosi quindi tra l’utente e PayPal.
Hanno poi scoperto che era facilissimo abilitare i pagamenti da un nuovo dispositivo senza una password dinamica funzionante per una sola sessione di login, una one time password (Otp). Se un utente cambia dispositivo, PayPal effettua una conferma telefonica per accertarsi che il numero inserito sia effettivamente collegato al dispositivo in uso, ma gli hacker etici sono stati in grado di bypassare questa conferma.
Un’altra vulnerabilità individuata riguardava la possibilità di inviare un codice dannoso tramite il sistema interno di chat usato come help-desk verso i clienti. E ancora: sono emerse falle relative alle domande di sicurezza, in realtà poco sicure; alla modifica del nome dell’utente; all’eccessiva vulnerabilità di PayPal agli attacchi brute force.
Gli hacker etici si aspettavano una ricompensa, dato che PayPal ha messo in palio fino a un massimo di 30mila dollari per ogni bug. E invece, dopo aver pubblicato le segnalazioni su HackerOne, sono stati rimossi i punteggi che stabilivano la buona reputazione dei ricercatori, che all’improvviso sono apparsi sospetti. Così PayPal ha risolto i suoi bug, ma gli hacker buoni sono rimasti a bocca asciutta, anzi, hanno ricevuto un danno, perché ora dovranno recuperare punti per essere ritenuti fonti affidabili.
Leggi anche