Boa tarde, queridos colegas!
Eu sou um usuário do popular serviço de pagamento PayPal. Além disso, sou especialista em segurança técnica na área de proteção de dados pessoais. Quero contar como descobri uma vulnerabilidade no sistema que me permitiu fazer login em uma conta de usuário do PayPal, além de fazer uma alteração discreta de senha e abrir acesso à conta pessoal do cliente sem o conhecimento dele para retirar fundos.
Então, vamos começar ...
Para começar, sou parcialmente um freelancer que recebe seu prêmio pelo serviço do PayPal. Enquanto estava sentado em casa, e mais uma vez verificando os recibos da minha conta do PayPal do meu celular, tive um problema ao acessar minha conta pessoal. Muitas vezes eu usava o sistema de autenticação via Touch ID, colocando meu dedo e entrando na conta pessoal do serviço. Mas desta vez, por algum motivo, o Touch ID caiu no meu celular e eu tive que lembrar a senha usual, o que representava muitos problemas, porque é complicado e não pode ser digitado no dispositivo móvel. Após algumas tentativas frustradas de lembrar a senha correta, decidi usar o sistema de recuperação de senha e aqui começa a diversão! :)
O fato é que, como todos os serviços populares hoje em dia, o PayPal possui um sistema de recuperação de senha e é muito multidirecional - podemos recuperar a senha por correio, indicando o correio da nossa conta, podemos indicar a resposta para a pergunta de segurança ... Mas eu estava interessado nesta opção
restaure o acesso à sua conta com um "cartão de crédito" .
Foto 1 - Opções para restaurar o acesso à sua conta do PayPal
(As capturas de tela acima mostram o campo para restaurar o acesso à conta através de várias opções)Por que esse momento está tão viciado em mim? Bem, porque eu sei como as pessoas, pelo menos na Rússia, se relacionam com seus dados pessoais, completamente sem entender quais delas podem ser publicadas na Internet e quais não! Entendendo isso, decidi realizar um experimento e descobrir o que isso poderia ameaçar o cliente - diretamente para mim, bem, junto com outros usuários do serviço de pagamento do PayPal.
Para restaurar o acesso à sua conta pelo número do cartão do banco - o serviço mostra os dois últimos dígitos do número do cartão. Surge uma pergunta lógica -
como posso descobrir o número completo do cartão bancário de um cliente? E aqui vários serviços bancários de pagamentos on-line vêm em nosso auxílio (não falamos sobre o descuido das pessoas que deixam seus dados pessoais). Do que você está falando? Refiro-me aos aplicativos de bancos que as pessoas instalam em seus celulares, por exemplo, o aplicativo “Sberbank Online”, “VTB” e outros. Como isso pode ajudar um invasor? Conhecendo o telefone da vítima em potencial - podemos romper parcialmente com o aplicativo o número do cartão bancário do proprietário deste telefone. O serviço gentil do banco nos mostrará o "Nome" e o "Nome do meio" do titular do cartão, bem como o número do seu cartão, alguns dos quais serão cobertos com asteriscos.
PS: Na minha opinião, em 2018 ou no início de 2019, também fui alertado pelo fato de que o VTB Bank em seus terminais também divulgou parcialmente os dados pessoais do cliente se você inseriu o cartão de crédito encontrado no terminal, inseriu a senha "do trator" e a janela do terminal exibia a saudação "Olá, sobrenome, nome, patronímico!" ... Fui então alertado por esse fato.
Foto 1 - Inscrição Sberbank Online
(Acima, há capturas de tela de aplicativos Sberbank, VTB, que mostram parcialmente informações sobre o nome do cliente e o número do seu cartão)
(Abaixo está uma captura de tela da pesquisa de informações nos mecanismos de pesquisa / redes sociais)
Mas sem isso. Essa quantidade de informações nos ajuda a identificar uma vítima em potencial usando uma pesquisa na Internet, sites fraudulentos ou descuido e credulidade humanos comuns.
É por isso que esse momento me excita. Imagine um invasor posando como um cliente que precisa desenvolver um site. Ele está procurando um freelancer, através de alguma plataforma popular. Ele escreve para o freelancer e oferece a ele seus termos, por exemplo, oferece-lhe um pagamento imediato, mas, em troca, pede um número de cartão bancário para transferir dinheiro. É uma situação normal. Tendo recebido o número do cartão do banco em seu "tamanho" completo, o invasor tem apenas uma coisa: descobrir para qual e-mail a conta do freelancer está registrada. Para fazer isso, o invasor só precisa
direcionar o endereço de e-mail da vítima por
meio do link de recuperação de acesso e garantir que o serviço tenha visto o e-mail. Depois disso, basta selecionar a opção de restaurar o acesso à conta da vítima, não por e-mail, mas digitando o número do cartão do banco e ... acesso total à sua conta de cliente do PayPal!
Foto 1 - Verifique se o e-mail recebido está no sistema do PayPal
Foto 1.1 - veja confirmação ou falha do sistemaFoto 2 - Altere o método de recuperação de E-mail para um número de cartão bancário
Foto 2.1 - Garantimos que o número do cartão indicado pela vítima corresponda ao vinculado na conta dos últimos 2 a 4 caracteres.
(O exemplo acima é um exemplo de como você pode identificar a correspondência de e-mail e a ligação a ele de um cartão bancário especificado por um freelancer)Depois que o invasor está convencido de que esses dados são suficientes e correspondem ao que o serviço do PayPal nos mostra, o invasor simplesmente faz login no sistema e, ao mesmo tempo, define sua senha. No entanto, todas essas ações não são exibidas no correio da vítima. Aparentemente, o serviço acredita que, desde que você especifique o número do cartão, ele é 100% deles, não um invasor, e simplesmente não envia informações sobre como alterar a senha para o correio. Isso está cheio de consequências.
Foto 1 - Acesse o sistema para restaurar o acesso à sua conta do PayPalFoto 2 - Indicamos o método de recuperação pelo número do cartão bancário
Foto 3 - Digite o número do cartão do banco
Foto 4 - Altere a senha da sua conta do PayPal
Foto 5 - Entramos na conta do PayPal de uma vítima em potencial
(As capturas de tela mostram as etapas para acessar livremente sua conta do PayPal)FEITO! Para tal "hack", não era necessário o uso de fundos adicionais. Todas as informações são reveladas por meio de serviços padrão ou simplesmente de fontes abertas = (
Como você pode ver, sem nenhuma dificuldade, usando apenas informações e serviços disponíveis de código aberto, pudemos fazer login na conta do usuário do sistema de pagamento PayPal, ver sua conta, informações sobre recebimentos (de onde, quanto e quando), que devem ser protegidos pelo banco um segredo Sem o conhecimento do proprietário da conta, pudemos alterar sua senha.
Também conseguimos acessar as configurações do perfil do usuário e, nessas configurações, podemos ver os dados pessoais do cliente, onde ele mora e, o mais importante, podemos alterar o endereço de email da conta para a qual as notificações de transferências são recebidas. Sim, é claro, não se pode deixar de jogar o correio principal do proprietário - caso contrário, ele poderá ver a carta do sistema informando que seu login principal foi alterado para outro, mas, devido ao spam, isso pode não ser percebido, certo?
Se alterarmos o correio da conta, nesse caso, quando o fraudador retirar / transferir o dinheiro da vítima para outra conta do serviço - uma notificação para o sistema que diz "Olá, cliente! Estamos transferindo fundos para outra conta ... no valor de ... "só veremos, e a vítima não saberá que seu dinheiro foi perdido até que ele tente entrar em sua conta, que ele não terá sucesso imediatamente, a essa altura o dinheiro já poderá estar retirado do sistema para quaisquer contas fraudulentas de fraude.
Por que estou tão preocupado com esse problema, você pergunta? Sim, estou ciente de que as pessoas que possuem grandes quantidades de contas do PayPal têm maior probabilidade de proteger informações sobre seus dados pessoais, sabem como armazená-los e quais leis eles protegem para operar em empresas que eles podem potencialmente "iluminar" esses dados de qualquer forma na Internet ou transmiti-los a 3 pessoas, que podem vazar esses dados ... Sim, concordo plenamente com você. Mas, se você olhar mais de perto, o sistema do PayPal é usado por muitas pessoas que são simples e não são muito amigas da Tecnologia da Informação - há apenas circunstâncias urgentes que exigem que elas criem uma conta e recebam fundos.
Quando descobri como identificar os endereços de e-mail, números de celular e números de cartões bancários necessários ... Você não acredita - em algum momento, simplesmente conduzi uma consulta de pesquisa na seguinte rede social popular: "E-mail do número do banco do PayPal cartões "e nos resultados da pesquisa, recebi centenas desses dados que os invasores podem simplesmente pegar, copiar, colar e usar o esquema de hackers que descrevi acima.
Foto 1 - insira a solicitação na rede de pesquisa em VKontakte. Não vou postar o restante das capturas de tela - você mesmo pode conferir. Não acho que apenas os residentes da Rússia tenham uma atitude tão simples com seus dados pessoais, acredito que outros países tenham o mesmo problema ...(As capturas de tela mostram quanta informação com detalhes específicos de contas, cartões, e-mail pode ser fácil e simplesmente obtida de fontes abertas na Internet)
A maioria desses dados é publicada sem hesitação por pessoas que levantam fundos para o tratamento de seus filhos, parentes e animais de estimação amados. Essas pessoas, e isso é compreensível, não pensam na segurança de sua conta do PayPal - para elas, salvar vidas está em primeiro lugar. Entendendo isso, acredito que o serviço do PayPal deve mudar a abordagem para restaurar o acesso a uma conta, indicando um número de cartão bancário. Além do número do cartão do banco, seria aconselhável enviar uma solicitação com um "código" para o correio ou telefone do cliente.
Isso ajudará a tempo de identificar tentativas dos golpistas de obter acesso à sua conta; é até possível identificar esses golpistas da vida real no momento (se isso for uma surpresa para eles e que suas ações possam ser rastreadas).
O que os usuários devem fazer para melhorar a segurança dos usuários do PayPal:
- Ative a autorização de dois fatores em sua conta.
- Não publique em domínio público na Internet os números de cartão e e-mails associados à sua conta do PayPal.
- Não publique seus dados pessoais em redes sociais, fóruns e mensagens instantâneas.
- Use o E-mail, que não foi indicado em nenhum lugar, exceto no PayPal (desconhecido para ninguém, exceto você).
O que o serviço deve fazer para melhorar a segurança dos usuários do PayPal:
- Ao usar a função de restaurar o acesso a uma conta, indicando um cartão bancário, implemente o envio adicional de um código de confirmação para o correio do cliente ou para um número de celular, após a confirmação da qual já é permitido alterar a senha para uma nova.
- Informe o cliente sobre a tentativa de alterar a senha da conta para email.
- Para informar o cliente sobre alterações na conta - inclusive para informar sobre a alteração de E-mail, nome, detalhes de detalhes.
Este relatório foi escrito em 31 de dezembro de 2019. Desde 26 de dezembro, houve tentativas malsucedidas de entrar em contato com o serviço de suporte do PayPal - recebi apenas uma resposta de cancelamento de inscrição que os especialistas do departamento técnico entrarão em contato comigo, mas eles não entraram em contato.
UPD: A partir de 13/01/2020, esta vulnerabilidade foi corrigida.
Links úteis sobre esse problema de outro especialista em segurança que descobriu um problema semelhante que permite roubar o nome de usuário e a senha do PayPal [
Leia ... ]