PayPal Perbaiki Bug, Si Penemu Diganjar Rp 210 Juta
Ilustrasi
Cyberthreat.id - Peneliti Cybersecurity, Alex Birsan menemukan bug tingkat tinggi pada PayPal. Bug itu mempengaruhi salah satu halaman PayPal yang paling banyak dikunjungi orang yaitu halaman formulir login. Birsan menemukan kerentanan keamanan itu saat ia mengeksplorasi otentikasi utama di PayPal.
Ia menemukan fakta bahwa file JavaScript (JS) pada halaman tersebut berisi seperti cross site request forgery (CSRF atau token pemalsuan permintaan lalu lintas pada situs) dan sesi ID (identity).
"Ini langsung menarik perhatian saya. (Kerentanan itu) menyediakan segala jenis data sesi di dalam file JavaScript yang valid, biasanya memungkinkan untuk diambil oleh penyerang. Dikenal sebagai serangan penyisipan skrip situs (XSSI), laman web jahat dapat menggunakan tag <script>HTML untuk mengimpor skrip asal-asalan dan memungkinkan untuk mendapatkan akses ke data apapun yang terkandung dalam file," kata Birsan dikutip dari Medium Cybersecurity, Jumat (10 Januari 2020).
Birsan segera melaporkan kerentanan yang ia temukan kepada PayPal untuk diperbaiki. PayPal mengonfirmasi bahwa "token yang sensitif dan unik sedang bocor dalam file JS yang digunakan oleh implementasi re-CAPTCHA".
CAPTCHA merupakan sistem yang dirancang untuk menetapkan bahwa pengguna komputer adalah manusia atau bahasa sederhananya sebagai pembeda antara bot dan manusia. Dalam keadaan tertentu, pengguna harus menyelesaikan tantangan CAPTCHA setelah otentikasi.
Kerentanan awal pada XSSI digunakan untuk mendapatkan satu set token yang valid. Kemudian, itu akan meluncurkan beberapa otentikasi dengan kredensial acak dari browser korban. Setelah korban masuk ke PayPal menggunakan browser yang sama, penjahat memungkinkan penjahat untuk mendapatkan kredensial pengguna PayPal.
"Kredensial acak yang di-cache akan digantikan oleh email dan kata sandi pengguna sendiri. Langkah terakhir adalah mendapatkan token reCAPTCHA baru sehingga kredensial teks akan diambil oleh penjahat dengan permintaan sisi server ke titik akhir/auth/validatecapthca dan ditampilkan pada halaman," pungkas Birsan.
PayPal membenarkan adanya kerentanan yang membuat pengguna harus mengikuti tautan login dari situs jahat dan memasukkan kredensial PayPal mereka. Penyerang dapat menyelesaikan tantangan keamanan yang memicu pengulangan permintaan otentikasi untuk mengekspos kata sandi pada halaman formulir login.
"Eksposur ini hanya terjadi jika pengguna mengikuti tautan login dari situs jahat. Itu mirip dengan halaman phising," jelas PayPal seperti dikutip Forbes, Jumat (10 Januari 2019).
PayPal segera memperbaiki kerentanan itu dengan menerapkan kontrol tambahan pada permintaan tantangan reCAPTCHA untuk mencegah penggunaan kembali token. Investigasi PayPal mengungkapkan bahwa tidak ada bukti penyalahgunaan yang ditemukan dalam kasus ini.
Hadiah dari PayPal
Proses, tambah Birsan, kerentanan yang sama juga digunakan pada beberapa halaman checkout yang tidak di-autentikasi. Itu memungkinkan data kartu kredit penggunanya bocor. Untuk itu, bukti konsep penyerangan dan segala informasi yang relevan diajukan ke program bug bounty PayPal pada 18 November 2019 dan telah divalidasi oleh HackerOne pada 5 Desember 2019.
HackerOne adalah platform hadiah bug yang sangat populer dan telah menghubungkan peretas dengan organisasi yang membayar imbalan untuk kerentanan yang ditemukan dalam perangkat lunak layanan atau produk mereka.
Peneliti Alex Birsan mendapatkan hadiah sebesar $ 15.300 (Rp 210 juta) pada 10 Desember 2019 karena telah melaporkan masalah kerentanan tersebut []
Editor: Arif Rahman
