Paypal с неохотой выплатил вознаграждение за серьёзный баг

image

21 июня 2012 года Paypal присоединился к числу компаний, которые платят хакерам за найденные уязвимости. Учитывая характер веб-сервиса Paypal — финансовые транзакции — можно было предположить, что они более внимательно отнесутся к найденным багам, чем какой-нибудь Google, и предложат бóльшую награду за уязвимости. На практике всё оказалось иначе.

Хакер из l8security рассказал увлекательную историю в скриншотах, как он искал уязвимость в Paypal. Традиционно, такая работа начинается в хакерском поисковике shodanhq.com с логичного запроса “admin paypal”. Среди результатов поиска он увидел URL’ы с содержанием stageXmbXXX. Это явное указание на то, что staging netbloc у Paypal публично доступен. Дело точно пахло керосином. Вооружившись Хакбаром для Firefox, автор начал пробовать разные логины для авторизации. Например, как видно на скриншоте, при авторизации под логином lsmith система распознала его как Lori Smith.

Bookmark and Share

Paypal с неохотой выплатил вознаграждение за серьёзный баг

Небольшой поиск Google позволил найти подробнейшую информацию об этой админской панели, включая юридический документ со скриншотами (pdf).

Стало ясно, что тут не просто XSS, а серьёзная дыра, и за неё Paypal может заплатить больше стандартных $500. которые дают за XSS.

Хакер составил отчёт 29 июня и хотел отправить его в Paypal, но оказалось, что PGP-ключ Paypal опубликован с истёкшим сроком действия. Так что пришлось писать в компанию с просьбой выслать новый ключ. Через неделю они выслали его персонально, так что 5 июля хакер смог подписать и отправить отчёт. 19 июля он получил автоматическое сообщение о получении письма. 7 августа — ещё одно автоматическое сообщение о том, что делу присвоен статус “invalid” и оно закрыто. Хакер немедленно написал в Paypal с вопросом, может ли он теперь опубликовать отчёт об уязвимости в своём блоге? На следующий день ему быстро прислали ответ, что дело было закрыто, потому что исследователь не смог повторить описанную процедуру, а дело просто переклассифицировали в другую категорию. Наконец, 21 августа пришло не автоматическое, а вручную написанное письмо от человека, который признал наличие уязвимости и пообещал выплатить вознаграждение после того, как её закроют. 29 августа наконец-то пришёл перевод за «уязвимость XSS».

В итоге, хакер остался крайне недоволен сотрудничеством с Paypal и не рекомендует коллегам иметь дело с этой компанией.

Подробнее: http://www.xakep.ru/post/59506/default.asp

Читать комменты и комментировать

Добавить комментарий / отзыв



Защитный код
Обновить

Paypal с неохотой выплатил вознаграждение за серьёзный баг | | 2012-10-19 13:23:00 | | Статьи об Интернет безопасности | | 21 июня 2012 года Paypal присоединился к числу компаний, которые платят хакерам за найденные уязвимости. Учитывая характер веб-сервиса Paypal — финансовые транзакции — можно было предположить, что | РэдЛайн, создание сайта, заказать сайт, разработка сайтов, реклама в Интернете, продвижение, маркетинговые исследования, дизайн студия, веб дизайн, раскрутка сайта, создать сайт компании, сделать сайт, создание сайтов, изготовление сайта, обслуживание сайтов, изготовление сайтов, заказать интернет сайт, создать сайт, изготовить сайт, разработка сайта, web студия, создание веб сайта, поддержка сайта, сайт на заказ, сопровождение сайта, дизайн сайта, сайт под ключ, заказ сайта, реклама сайта, хостинг, регистрация доменов, хабаровск, краснодар, москва, комсомольск |
 
Поделиться с друзьями: