[English] داستانی نگران کننده که من فقط از طرف تحلیلگران امنیتی دریافت کردم. ارائه دهنده PayPal ماه هاست که در ژانویه سال 2020 گزارش شده است ، در سیستم خود دارای آسیب پذیری های امنیتی است ، اما هنوز اصلاح نشده اند. هکرها می توانند از آنها برای تمیز کردن حساب های PayPal و حساب های بانکی سوء استفاده کنند. علاوه بر این ، ایمیل های کاربران حدود 14 روز به من می رسد و می گویند که حسابهای PayPal آنها سوءاستفاده شده است.
پیام هایی در مورد مزاحمت های پی پال
ممکن است بدانید که در حال حاضر کلاهبرداری
وجود دارد که در آن کلاهبرداران از حساب های PayPal هک شده استفاده می کنند و از کارت های PlayStation Network در CD-Key ها خریداری می کنند.دوست من چند ساعت پیش ایمیلی از طریق پی پال (یا اطلاع رسانی
از طریق برنامه خود) در مورد معامله دریافت کرد. هیچ PS4 وجود ندارد و کارت را خریداری نکرده است. او همچنین نمی داند حساب کاربری PayPal را در کجا آورده است.
مایکل پی سپس سپس بررسی کرد و دید که این کوک از سال 2018 وجود دارد
. مایکل پیوندی به انجمن PayPal منتشر کرده است. در صفحه 3 ، گزارش های قربانیان در ژانویه سال 2020 جمع می شود. احتمالاً شخصی است که گزارش را در تاریخ 27 ژانویه منتشر کرده است. این موارد فردی قبلاً تصویری داده اند که چیزی در بوته است. سؤال: مجرمان سایبری چگونه حسابهای پی پال خود را دریافت می کنند؟
از سال گذشته ، کلاهبرداری پی پال از طریق تبلیغات eBay انجام می شود ، جایی که مردم با معاملات سه طرفه فریب می خورند. فروشنده 1 کالاهای خریداری شده را از طریق خریدار ارائه می دهد (2). این به نوبه خود یک تبلیغ مشابه ، اما ساختگی ، طبقه بندی شده ایجاد می کند و می تواند توسط یک خریدار خارجی از طریق پی پال پرداخت شود. با این حال ، او آدرس PayPal فروشنده را می دهد. مشتری پول دریافت می کند و کالاها را به خریدار منتقل می کند (2). خریدار ناپدید می شود و کاربر 3 کالای پولی را ارسال نمی کند. روی پی پال تبلیغاتی می کنید و پس از آن فروشنده مجدداً رزرو می کند. بنابراین او پول دریافت نمی کند و از کالاهای خود خلاص می شود. جزئیات به عنوان مثال برای SWR 3 در اینجا (و برای تراشه در اینجا) توضیح داده شده است. اما احتمالاً هیچ ارتباطی با موارد فوق ندارد.
آسیب پذیری های نا امن PayPal
من یک ایمیل از CyberNews دریافت کردم که می تواند یک قطعه از معما باشد که توضیح می دهد چرا می توانید به حساب های PayPal هک شوید. تحلیلگران امنیتی مقر ویلنیوس هستند و همچنین به نظر می رسد که توسط برنامه های محافظت در برابر خطای شرکت تأمین می شوند. اگر اطلاعات صحیح باشد ، کارشناسان امنیتی آنها درگیری را به صورت کپی ردیابی کردند. کارشناسان به مشتریان PayPal در مورد آسیب پذیری های امنیتی هشدار می دهند که تقریباً یک ماه پیش در این سکو گزارش شده اما هنوز بسته نشده است. همچنین به نظر می رسد که آنها به دلیل پاداش اشکالات فریب خورده اند.
کلاهبرداری از هکرهای اخلاقی؟
به گفته CyberNews ، قلب مشکل برنامه Bug Bounty و برنامه "Ethical Hacking" است که توسط HackerOne (www.HackerOne.com) برای پی پال و بسیاری از شرکت های بزرگ و سازمان های دولتی دیگر که در ایالات متحده و اروپا فعالیت می کنند تهیه شده است. چنین برنامه هایی باید هکرها را برای هشدار دادن به شرکتهای آسیب پذیر پاداش دهد. شرکت های بزرگی مانند Google و غیره. آنها از این کمک می کنند تا هکرها در مورد آسیب پذیری های امنیتی گزارش دهند من فکر می کنم این در واقع چیز خوبی است
با این حال ، تجربه تحلیلگران CyberNews روند نزولی یا نگرانی را نشان می دهد که برخی شرکت ها تمایلی به پرداخت پاداش برای خطاها ندارند. و تردیدی در مورد جامعه هکرها وجود دارد که اشکالات گزارش شده کم و بیش توسط کارشناسان سیستم عامل مانند HackerOne برای ادعای پاداش پاداش خطا جمع آوری می شوند.
سیگار با اسلحه در PayPal؟ [19659011] در آخرین مورد ، تحلیلگران PayPal CyberNews به دلیل سوء ظن های فوق چیزی مشابه یک کف سیگار کشیدند. تحلیلگران ابتدا شش آسیب پذیری در سیستم پی پال را در نیمه اول ژانویه از طریق برنامه Bug Bounty که توسط HackerOne اداره می شود ، گزارش کردند.
- براساس گزارش CyberNews ، سه مورد از آسیب پذیری های گزارش شده توسط HackerOne / PayPal به عنوان مشکل شناخته نشده اند ، اما به طور ضمنی توسط پی پال برداشته شد.
- سه آسیب پذیری باقی مانده هنوز برطرف نشده است – پی پال تکذیب می کند که دو مورد از آنها بر عهده وی است.
این آسیب پذیری ها به هکرها اجازه می دهد تا حساب های PayPal و حساب های بانکی خالی کاربران را به دست بگیرند ، محققان امنیتی بنویسند. [19659010] هکر یک: شکست توسط طراحی؟
نحوه کار سیستم HackerOne ساده است: به لطف HackerOne ، تحلیلگران امنیتی آن به سرعت هر یک از مشکلات گزارش شده را بررسی و طبقه بندی می کنند و این گزارش ها را در صورت لزوم تشدید یا بسته می کنند. ایده این است که تحلیلگران امنیتی HackerOne برای شناسایی مشکلات گزارش شده ، تکرار تلاش و برقراری ارتباط با تهیه کننده برای تهیه یک راه حل. خیلی برای نظریه
برنارد مایر ، محقق ارشد CyberNews ، اکنون تجربه خود را با این رویکرد دارد. وی می گوید: "در اینجا یک اشتباه بزرگ وجود دارد: آن دسته از تحلیلگران امنیتی که گزارش های آسیب پذیری را ارزیابی می کنند ، هکرهای فعال و دارای پاداش خطا هستند. به طور کلی ، تحلیلگران امنیتی می توانند یک مشکل گزارش شده را تشدید ، به تأخیر اندازند یا ببندند. " میر می گوید ، این منجر به کلاهبرداری و سوءاستفاده می شود. ارزیابان می توانند با خدشه وارد عمل شوند و گزارش اصلی را به تأخیر بیاندازند ، ضمن اینکه آسیب پذیری را با هویت متفاوت گزارش می دهند تا جایزه را بگیرند و سپس گزارش اصلی را بعنوان غیرقابل استفاده یا احتمالاً تکراری ببندند.
"این سیستم در برابر سوء استفاده آسیب پذیر است ، به ویژه که تحلیلگران امنیتی از نام های عمومی در HackerOne استفاده می کنند. این بدان معنی است که هیچ روش واقعی برای فهمیدن آنچه در سیستم عامل های دیگر با پاداش خطا انجام می دهند وجود ندارد. "مایر ادامه می دهد.
آسیب پذیری ها را گزارش کرد ، دست خالی گذاشت و مجازات شد
وقتی تحلیلگران شش ضعف را در پی پال کشف کردند ، در هاکر یک دریافتند که آنها کارمندان بی پاسخ ، جواب های نامشخص و غالباً امتناع دارند. آسیب پذیری امنیت میلیون ها کاربر PayPal را تهدید کرده است. تحلیلگران امنیتی وقتی فهمیدند که چه اشتباهی رخ داده است شکایت دارند و سعی در ایجاد فشار برای انتشار خبر داشتند. به گزارش سایبرنیوز ، سپس HackerOne امتیازات را از اعتبار اعتبار حساب کاربر حذف کرد. در نتیجه ، پروفایل های Cybernews برای گزارش های پی پال به سطوح مشکوک مانند هرزنامه کاهش یافته است.
تلخ است زیرا مردم می نویسند که این اتفاق با وجود شکاف هایی که گزارش داده اند برداشته شد. هیچ حق بیمه ای برای این گزارش ها وجود نداشت ، و محققان امنیتی حتی از آنها تشکر و قدردانی نکردند. در عوض ، آنها به HackerOne منتقل شدند – یا دقیقتر روی سکوها سوزانده شدند. در پایان روز آنها وضعیت بدتری داشتند از اینکه اگر چیزی را گزارش نکرده باشند.
پی پال: اعتبار مشهور در بین شکارچیان فضل
می توان به عنوان یک پرونده منزوی ، یک اتفاق ناگوار از شرایط یا به سادگی گمراه کردن افراد CyberNews از کار برکنار شد. اما مردم می نویسند ، "حتی تحلیلگران ما تنها هکرهای اخلاقی نیستند که این مسئله را تجربه می کنند. پی پال از پرهیز از پرداخت جوایز قانونی برای جوایز خطا ، شهرت دارد. این در مورد هکر 17 ساله ای است که در سال 2013 اشتباه بزرگی در پی پال پیدا کرد. پی پال از پرداخت هزینه خودداری کرد زیرا هکر خیلی جوان بود. "پرونده رابرت کوگلر در سال 2013 و سایر موارد مربوط به رفتار پی پال در برنامه جایزه برای خطاها در اینجا ذکر شده است.
شش آسیب پذیری در پی پال
محققان امنیتی پرونده و آسیب پذیری های موجود را در این مقاله مستند ساختند. این امر امکان تأیید هویت دو عاملی PayPal (2FA) را آسان می کند. در اینجا لیستی از آسیب پذیری هایی که افراد CyberNews به من داده اند وجود دارد.
فقط سه آسیب پذیری (شماره 4 تغییر نام کامل ، شماره 5 I – از حساسیت SmartChat به پی پال و سؤالات امنیتی دائمی # 6 XSS). جزئیات در مقاله CyberNews شرح داده شده است.
آنچه امروز مرا تحت تأثیر قرار داد: من نمی توانم رمز ورود برای حساب کاربری PayPal را به روشی که می خواهم تغییر دهم. کاراکترهای نامعتبر گزارش شده و رمز عبور جدید پذیرفته نمی شود. من همچنین سعی کردم حساب بانکی ثبت شده خود را حذف کنم – این کار نمی کند. شکسته با طراحی.
