Geekly articles weekly

La négligence des utilisateurs de PayPal leur permettant de voler leur compte et leur argent [Corrigé]

Bonjour, chers collègues!


Je suis un utilisateur du service de paiement populaire PayPal. De plus, en combinaison, je suis un spécialiste de la sécurité technique dans le domaine de la protection des données personnelles. Je veux vous dire comment j'ai découvert une vulnérabilité dans le système qui m'a permis de me connecter à un compte d'utilisateur PayPal, ainsi que de modifier discrètement le mot de passe et d'ouvrir l'accès au compte personnel du client à son insu, pour retirer des fonds.

image

Alors commençons ...

Pour commencer, je suis en partie un pigiste qui reçoit son prix via le service PayPal. Et en étant assis à la maison et en vérifiant à nouveau les reçus de mon compte PayPal depuis mon téléphone portable, j'ai eu un problème d'accès à mon compte personnel. J'ai très souvent utilisé le système d'authentification via Touch ID, en mettant le doigt et en accédant au compte personnel du service. Mais cette fois, pour une raison quelconque, le Touch ID est tombé sur mon téléphone mobile et j'ai dû me souvenir du mot de passe habituel, ce qui posait beaucoup de problèmes, car il est compliqué et ne peut pas être saisi à partir de l'appareil mobile. Après quelques tentatives infructueuses de se souvenir du mot de passe correct, j'ai décidé d'utiliser le système de récupération de mot de passe et ici le plaisir commence! :)

Le fait est que, comme tous les services qui sont populaires aujourd'hui, PayPal a un système de récupération de mot de passe, et il est très multidirectionnel - nous pouvons récupérer le mot de passe par courrier, en indiquant le courrier de notre compte, nous pouvons indiquer la réponse à la question de sécurité ... Mais j'étais intéressé par cette option restaurez l'accès à votre compte avec une "carte de crédit" .

image
Photo 1 - Options pour restaurer l'accès à votre compte PayPal
(Les captures d'écran ci-dessus montrent le champ pour restaurer l'accès au compte via diverses options)

Pourquoi ce moment est-il si accro à moi? Eh bien, parce que je sais comment les gens, au moins en Russie, se rapportent à leurs données personnelles, ne comprenant absolument pas lesquels peuvent être publiés sur Internet et lesquels ne le peuvent pas! Comprenant cela, j'ai décidé de mener une expérience et de découvrir ce que cela pourrait menacer le client - directement pour moi, ainsi que pour les autres utilisateurs du service de paiement PayPal.

Pour restaurer l'accès à votre compte par numéro de carte bancaire - le service nous montre les 2 derniers chiffres du numéro de carte. Une question logique se pose: comment puis-je connaître le numéro complet de la carte bancaire d’un client? Et ici, divers services bancaires de paiement en ligne viennent à notre aide (nous ne parlons pas de la négligence des personnes qui laissent leurs données personnelles). De quoi tu parles? Je veux dire les applications des banques que les gens installent sur leurs téléphones mobiles, par exemple, l'application "Sberbank Online", "VTB" et autres. Comment cela peut-il aider un attaquant? Connaître le téléphone de la victime potentielle - nous pouvons partiellement percer l'application du numéro de carte bancaire du propriétaire de ce téléphone. Le service aimable de la banque nous montrera le «nom» et le «deuxième prénom» du titulaire de la carte, ainsi que son numéro de carte, dont certains seront couverts d’astérisques.
PS: À mon avis, en 2018 ou au début de 2019, j'ai également été alerté par le fait que VTB Bank dans ses terminaux a également partiellement divulgué les données personnelles du client si vous insériez la carte de crédit trouvée dans le terminal, saisissiez le mot de passe «du bulldozer» et la fenêtre du terminal verrait le message d'accueil "Bonjour, nom, prénom, patronymique!" ... J'étais alors alerté par ce fait.
image
Photo 1 - Demande en ligne de Sberbank
(Ci-dessus, des captures d'écran des applications Sberbank, VTB, qui affichent partiellement des informations sur le nom du client et son numéro de carte)

image

(Ci-dessus, une capture d'écran de la recherche d'informations dans les moteurs de recherche / réseaux sociaux)
Mais sans ça. Cette quantité d'informations nous aide à identifier une victime potentielle à l'aide d'une recherche sur Internet, de sites frauduleux ou d'une insouciance et d'une crédulité humaines ordinaires.

Voilà pourquoi ce moment m'excite. Imaginez un attaquant se présentant comme un client qui a besoin de développer un site Web. Il recherche un pigiste, via une plateforme populaire. Il écrit au pigiste et lui propose ses conditions, par exemple, lui propose de le payer immédiatement, mais demande en échange un numéro de carte bancaire pour le transfert d'argent. C’est une situation normale. Après avoir reçu le numéro de carte bancaire dans sa «taille» complète, l'attaquant n'a plus qu'une chose: savoir à quel e-mail le compte du pigiste est enregistré. Pour ce faire, un attaquant doit simplement conduire l' adresse e-mail de la victime via le lien de récupération d'accès et s'assurer que le service a vu son e-mail, après quoi nous sélectionnons simplement l'option pour restaurer l'accès au compte de la victime non pas par courrier, mais en entrant un numéro de carte bancaire et ... Et nous obtenons un accès complet à votre compte client PayPal!

image
Photo 1 - Vérifiez que l'e-mail reçu est dans le système PayPal
Photo 1.1 - voir la confirmation ou voir la panne du système

image
Photo 2 - Changer la méthode de récupération de l'e-mail à un numéro de carte bancaire

image
Photo 2.1 - Nous nous assurons que le numéro de carte indiqué par la victime correspond à celui lié dans le compte pour les 2 à 4 derniers caractères.
(Ce qui précède est un exemple de la façon dont vous pouvez identifier la correspondance d'un e-mail et la liaison à celle-ci d'une carte bancaire spécifiée par un pigiste)

Une fois que l'attaquant est convaincu que ces données sont suffisantes et qu'elles correspondent à ce que le service PayPal nous montre, l'attaquant se connecte simplement au système et définit en même temps son mot de passe. Cependant, toutes ces actions ne sont pas affichées sur le courrier de la victime. Apparemment, le service estime que puisque vous spécifiez le numéro de carte, c'est 100% son client, pas un attaquant, et n'envoie tout simplement pas d'informations sur la modification du mot de passe par courrier. Ceci est lourd de conséquences.

image
Photo 1 - Accédez au système pour restaurer l'accès à votre compte PayPal

image
Photo 2 - Nous indiquons la méthode de récupération par numéro de carte bancaire

image
Photo 3 - Entrez le numéro de carte bancaire

image
Photo 4 - Modifiez le mot de passe de votre compte PayPal

image
Photo 5 - Nous entrons dans le compte PayPal d'une victime potentielle
(Les captures d'écran montrent les étapes pour accéder librement à votre compte PayPal)
FAIT! Pour un tel "hack" n'a pas nécessité l'utilisation de fonds supplémentaires. Toutes les informations sont révélées soit par le biais de services standard, soit simplement à partir de sources ouvertes = (
Comme vous pouvez le voir, sans aucune difficulté, en utilisant uniquement des informations et des services disponibles à partir de sources ouvertes, nous avons pu nous connecter au compte de l'utilisateur du système de paiement PayPal, voir son compte, des informations sur les reçus (d'où, combien et quand), qui devraient être protégés par les services bancaires un secret. À l'insu du propriétaire du compte, nous avons pu changer son mot de passe.

Nous avons également pu accéder aux paramètres du profil utilisateur, et dans ces paramètres, nous pouvons voir les données personnelles du client, où il vit, et plus important encore, nous pouvons changer l'adresse e-mail du compte auquel les notifications de transfert sont envoyées. Oui, bien sûr, on ne peut pas se passer de salir le courrier principal du propriétaire - sinon il pourra voir la lettre du système indiquant que sa connexion principale a été changée en une autre, mais à cause du spam, cela peut ne pas être remarqué, non?

Si nous changeons le courrier du compte, dans ce cas, lorsque le fraudeur retire / transfère l’argent de la victime vers un autre compte du service - une notification au système qui dit «Bonjour, client! Nous transférons des fonds sur un autre compte ... pour un montant de ... "seulement nous verrons, et la victime ne saura pas que son argent a été perdu jusqu'à ce qu'il essaie d'accéder à son compte, qu'il ne réussira pas tout de suite, d'ici là, l'argent peut déjà être retiré du système vers tout compte frauduleux frauduleux.

Pourquoi suis-je si préoccupé par ce problème, demandez-vous? Oui, je suis conscient que les personnes qui ont de grandes quantités de comptes PayPal sont plus susceptibles de protéger les informations sur leurs données personnelles, de savoir comment les stocker et quelles lois elles protègent afin d'opérer sur les entreprises qui ils peuvent potentiellement «éclairer» ces données de quelque manière que ce soit sur Internet, ou les transmettre à 3 personnes, qui pourraient alors divulguer ces données ... Oui, je suis entièrement d'accord avec vous. Mais, si vous regardez de plus près, le système PayPal est utilisé par de nombreuses personnes simples et pas tout à fait amies avec les technologies de l'information - il y a simplement des circonstances urgentes qui les obligent à créer un compte et à recevoir des fonds pour cela.

Quand j'ai compris comment identifier les adresses e-mail nécessaires, les numéros de téléphone portable, les numéros de carte bancaire ... Vous ne le croirez pas - à un moment donné, j'ai simplement lancé une requête de recherche dans un réseau social populaire de la nature suivante: "E-mail PayPal bank number cartes "et dans les résultats de recherche, j'ai obtenu des centaines de telles données que les attaquants peuvent simplement prendre, copier, coller et utiliser le schéma de piratage décrit ci-dessus.

image
Photo 1 - entrez la demande dans le réseau de recherche à VKontakte. Je ne publierai pas le reste des captures d'écran - vous pouvez le vérifier vous-même. Je ne pense pas que seuls les résidents de la Russie aient une attitude aussi simple à l'égard de leurs données personnelles, je crois que d'autres pays ont le même problème ...

(Les captures d'écran montrent combien d'informations avec des détails spécifiques sur les comptes, les cartes, les e-mails, peuvent être facilement et simplement obtenues à partir de sources ouvertes sur Internet)

La plupart de ces données sont publiées sans hésitation par des personnes qui collectent des fonds pour le traitement de leurs enfants, de leurs proches, de leurs animaux de compagnie bien-aimés. Ces gens, et c'est compréhensible, ne pensent pas à la sécurité de leur compte PayPal - pour eux, sauver des vies est en premier lieu. Comprenant cela, je pense que le service PayPal devrait changer l'approche de la restauration de l'accès à un compte en indiquant un numéro de carte bancaire. En plus du numéro de carte bancaire, il serait judicieux d’envoyer une demande avec un «code» au courrier ou au téléphone du client.
Cela aidera à temps à identifier les tentatives des fraudeurs d'accéder à votre compte, il est même possible d'identifier de tels fraudeurs dans la vie réelle pour le moment (si cela les surprend et que leurs actions peuvent être suivies).

Ce que les utilisateurs doivent faire pour améliorer la sécurité des utilisateurs PayPal:

  1. Activez l'autorisation à deux facteurs dans votre compte.
  2. Ne publiez pas dans le domaine public sur Internet les numéros de carte, les e-mails associés à votre compte PayPal.
  3. Ne publiez pas vos données personnelles sur les réseaux sociaux, les forums et les messageries instantanées.
  4. Utilisez E-mail, qui n'a été indiqué nulle part sauf PayPal (inconnu de tout le monde sauf vous).
Que doit faire le service pour améliorer la sécurité des utilisateurs PayPal:

  1. Lorsque vous utilisez la fonction de restauration de l'accès à un compte en indiquant une carte bancaire, introduisez l'envoi supplémentaire d'un code de confirmation au courrier du client ou à un numéro de téléphone mobile, après quoi il est déjà autorisé de changer le mot de passe pour un nouveau.
  2. Informez le client de la tentative de changer le mot de passe du compte en courrier.
  3. Pour informer le client sur les changements dans le compte - y compris pour informer sur le changement de E-mail, nom, détails des détails.
Ce rapport a été rédigé le 31 décembre 2019. Depuis le 26 décembre, il y a eu des tentatives infructueuses de contacter le service d'assistance PayPal - je n'ai reçu qu'une réponse de désabonnement que les spécialistes du service technique me contacteront, mais ils n'ont pas contacté.

UPD: Depuis le 13/01/2020, cette vulnérabilité a été corrigée.

Liens utiles sur ce problème d'un autre spécialiste de la sécurité qui a découvert un problème similaire qui vous permet de voler le nom d'utilisateur et le mot de passe PayPal [ Lire ... ]

Source: https://habr.com/ru/post/fr483748/

More articles:


All Articles