下午好,亲爱的同事们!
我是热门付款服务PayPal的用户。 同时,我还是个人数据保护领域的技术安全专家。 我想告诉您如何在系统中发现一个漏洞,该漏洞使我可以登录PayPal用户帐户,并进行不起眼的密码更改,并在客户不知情的情况下打开对客户个人帐户的访问权限,以提取资金。
所以,让我们开始吧...
首先,我是一名自由职业者,他通过PayPal服务获得奖励。 当我坐在家里,再次从手机上查看我的PayPal帐户的收据时,我在访问个人帐户时遇到了问题。 我经常通过Touch ID使用身份验证系统,将我的手指伸入服务的个人帐户中。 但是这一次,由于某种原因,Touch ID在我的手机上掉了,我不得不记住通常的密码,这是很多问题,因为它很复杂并且无法从移动设备输入。 在尝试记住正确的密码失败了几次之后,我决定使用密码恢复系统,这里的乐趣就开始了! :)
事实是,就像今天流行的所有服务一样,PayPal拥有密码恢复系统,而且它是非常多向的-我们可以通过邮件恢复密码,指示我们帐户的邮件,我们可以指示安全问题的答案...但是我对此选项感兴趣
使用“信用卡”恢复对您帐户的访问权限 。
照片1-恢复对PayPal帐户访问权限的选项
(以上屏幕截图显示了用于通过各种选项恢复对帐户访问权限的字段)为什么这一刻对我如此着迷? 好吧,因为我知道至少在俄罗斯,人们如何与他们的个人数据相关联,完全不了解其中哪些可以在互联网上发布,而哪些则不能! 了解了这一点后,我决定进行一项实验,并找出可能对客户构成威胁的因素-好吧,我以及PayPal付款服务的其他用户对我构成威胁。
要通过银行卡号恢复对您帐户的访问权限,该服务会向我们显示该卡号的后两位。 出现
了一个逻辑问题-
如何找出客户银行卡的完整号码? 在这里,各种在线支付银行服务都可以为我们提供帮助(我们谈论的不是人们留下个人数据的粗心大意)。 你在说什么 我的意思是人们在手机上安装的银行应用程序,例如“ Sberbank Online”,“ VTB”等应用程序。 这如何帮助攻击者? 了解潜在受害者的电话-我们可以在应用程序中部分突破此电话所有者的银行卡号。 银行的友好服务将向我们显示持卡人的“姓名”和“中间名”,以及他的卡号,其中一些卡有星号。
PS:我认为,早在2018年或2019年初,我还收到以下事实的警告:如果您将找到的信用卡插入终端,输入密码“来自推土机”,则VTB银行的终端也会部分泄露客户的个人数据。终端窗口上会显示问候语“您好,姓氏,名字,爱国!”……然后我被这个事实提醒。
图片1-Sberbank在线申请
(以上是Sberbank VTB应用程序的屏幕截图,部分显示了有关客户名称及其卡号的信息)
(上图是在搜索引擎/社交网络中搜索信息的屏幕截图)
但是没有它。 大量信息可帮助我们使用Internet搜索,欺诈性站点或普通人类的粗心和轻信来识别潜在受害者。
这就是为什么这一刻让我兴奋。 想象一下,一个冒充客户的攻击者需要开发一个网站。 他正在通过一些流行的平台寻找自由职业者。 他写信给自由职业者并提供他的条件,例如,提议立即付给他工作费,但作为回报,他要求提供银行卡号以进行转账。 这是正常情况。 攻击者收到完整尺寸的银行卡号后,只剩下一件事-查找自由职业者帐户在哪个电子邮件中注册。 为此,攻击者只需要
通过访问恢复链接来
驱动受害者的电子邮件地址,并确保该服务看到了他的电子邮件,此后,我们只需选择该选项即可通过输入银行卡号和密码来恢复对受害者帐户的访问权限,而不是通过邮件。完全访问您的PayPal客户帐户!
照片1-检查收到的电子邮件是否在PayPal系统中
照片1.1-查看确认,或查看系统故障照片2-将恢复方法从电子邮件更改为银行卡号
图片2.1-我们确保受害者指示的卡号与帐户中最后2-4个字符所链接的卡号相对应。
(以上示例说明了如何识别自由职业者指定的电子邮件与电子邮件的对应关系以及与之的绑定)在攻击者确信该数据已足够并且与PayPal服务显示给我们的数据一致之后,攻击者只需登录系统并同时设置密码。 但是,所有这些操作都不会显示在受害者的邮件上。 显然,该服务认为,由于您指定了卡号,因此它是其客户的100%,而不是攻击者,并且根本不会发送有关将密码更改为邮件的信息。 这充满了后果。
照片1-转到系统以恢复对您的PayPal帐户的访问权限图片2-我们通过银行卡号指明了恢复方法
照片3-输入银行卡号
图片4-更改您的PayPal帐户的密码
图片5-我们进入了潜在受害者的PayPal帐户
(屏幕截图显示了免费访问您的PayPal帐户的步骤)完成! 对于这样的“黑客”,并不需要使用额外的资金。 所有信息都是通过标准服务或仅通过开源=(
如您所见,仅使用开源提供的信息和服务,我们就可以毫不费力地登录贝宝(PayPal)支付系统用户的帐户,查看其帐户以及有关收据的信息(从何处,多少和何时),这些都应受到银行的保护。一个秘密。 在不知道帐户所有者的情况下,我们能够更改他的密码。
我们还可以访问用户配置文件设置,在这些设置中,我们可以查看客户的个人数据,他所居住的地方,最重要的是,我们可以更改转账通知的帐户电子邮件地址。 是的,当然,一个人不能不乱扔所有者的主要邮件-否则,他将能够看到系统的信说他的主要登录名已更改为另一个,但是由于垃圾邮件,这可能不会被注意到,对吧?
如果我们更改了帐户的邮件,在这种情况下,当欺诈者取款/将受害者的钱转移到该服务的另一个帐户时,系统会显示一条通知,“您好,客户! 我们正在将资金转移到……的金额中……“只有我们会看到,受害人在尝试输入自己的帐户之前不会知道自己的钱已经丢失,他不会马上成功,到那时钱可能已经是从系统撤回至任何欺诈性诈骗帐户。
你问我为什么这么担心这个问题? 是的,我知道拥有大量PayPal帐户的人更有可能保护有关其个人数据的信息,知道如何存储这些信息以及他们保护在其经营的公司中应遵循的法律他们可能会以任何方式在Internet上“照亮”此数据,或者将其传输给3个人,然后他们可能会泄漏此数据。是的,我完全同意。 但是,如果您仔细看一下,很多简单的人使用PayPal系统,他们对信息技术不是很了解-只是在紧急情况下,要求他们创建一个帐户并接收资金。
当我弄清楚如何识别必要的电子邮件地址,手机号码,银行卡号码...时,您将不会相信-有时,我只是将搜索查询带入以下流行的社交网络中:“电子邮件PayPal银行号码卡”,在搜索结果中,我得到了数百种这样的数据,攻击者可以简单地获取,复制,粘贴和使用上面描述的黑客计划。
图片1-将请求输入到VKontakte的搜索网络中。 我不会发布其余的屏幕截图-您自己可以查看。 我认为,只有俄罗斯居民对他们的个人数据没有这么简单的态度,我相信其他国家也有同样的问题...(屏幕截图显示可以从Internet上的开放源代码轻松,简单地获取多少信息,包括帐户,卡,电子邮件的特定详细信息)
这些数据大多数都是为筹集资金来治疗其子女,亲戚和挚爱宠物的人们而毫不犹豫地发布的。 这些人并且这是可以理解的,他们不会考虑其PayPal帐户的安全性-对他们而言,挽救生命是首要任务。 了解这一点后,我相信PayPal服务应通过指示银行卡号来更改恢复对帐户访问权限的方法。 除了银行卡号之外,将带有“代码”的请求发送到客户的邮件或电话也是明智的。
这将有助于及时识别诈骗者试图获得您的帐户访问权的机会,甚至有可能在此时识别现实生活中的此类诈骗者(如果这使他们感到惊讶,并且可以跟踪其行为)。
用户应采取哪些措施来增强PayPal用户的安全性:
- 在您的帐户中启用两因素授权。
- 请勿在Internet上的公共域中发布与您的PayPal帐户关联的卡号和电子邮件。
- 不要在社交网络,论坛和即时通讯程序上发布您的个人数据。
- 使用电子邮件,除了贝宝(您以外的任何人都不知道)以外,其他地方都没有显示电子邮件。
该服务应采取什么措施来增强PayPal用户的安全性:
- 使用通过显示银行卡来恢复对帐户的访问的功能时,请在向客户的邮件或手机号码发送确认码后再发送一次确认码,确认后,便可以将密码更改为新的密码。
- 通知客户端有关将密码从帐户更改为邮件的尝试。
- 通知客户帐户更改-包括通知电子邮件更改,名称,详细信息。
该报告写于2019年12月31日。 自12月26日以来,一直没有尝试联系PayPal支持服务-我仅收到一份退订答复,即技术部门专家将与我联系,但他们没有联系。
UPD:从01/13/2020开始,此漏洞已修复。
另一个安全专家提供的有关此问题的有用链接,他发现了一个类似的问题,该问题使您可以窃取PayPal用户名和密码[
阅读... ]