Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Niecodzienna historia XSS w PayPal.com
Pewien siedemnastoletni uczeń odnalazł w popularnym PayPal.com podatność typu XSS. Nastolatek postanowił więc skorzystać z działającego w tym serwisie płatnego programu dla łowców błędów. Niestety, bezskutecznie.
Robert Kugler odnalazł podatność w funkcji wyszukiwania:
- https://www.paypal.com/de/cgi-bin/searchscr?cmd=_sitewide-search
Chcąc skorzystać z prowadzonego przez serwis programu nagradzania odpowiedzialnego ujawnienia podatności (ang. responsible disclosure), chłopak przekazał wszystkie szczegóły zespołowi bezpieczeństwa PayPal. Niestety, zgłoszenie Roberta zostało odrzucone ze względu na jego… wiek, a otrzymana informacja zwrotna była następująca.
„To be eligible for the Bug Bounty Program, you *must not*:
… Be less than 18 years of age. If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments.”
W efekcie Robert postanowił upublicznić swe odkrycie, opisując całą historię wraz z kodem PoC na liście Full Disclosure.
Niedopuszczanie najmłodszych do udziału w programach dla łowców błędów nie wydaje się być dobrym pomysłem. Zdarza się, że to właśnie nastoletni badacze dokonują spektakularnych odkryć. Co więcej, inne organizacje i firmy przekazują nagrody niezależnie od młodego wieku uczestnika.
Szczególnie więc na polu nowoczesnych technologii, dziwi ignorowanie potencjalnego wkładu młodych badaczy i trudno znaleźć jakiekolwiek przesłanki uzasadniające regulamin PayPala w tym zakresie. Na coraz szerszym rynku programów typu Bug Bounty w przyszłości może więc zabraknąć miejsca dla tych stosujących niezrozumiałe zasady gry.
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
PoC można było skrócić do „”>’>alert(String.fromCharCode(88,83,83))”. Dodatkowo jak zauważył Jeffrey Walton na Full-Disclosure https://www.paypal.com/us/webapps/mpp/security/reporting-security-issues tutaj nic nie jest napisane o wieku minimalnym.
@redeemer,
Zgadza się, czytałem zawartość tej stronki. Jednak z tego co rozumiem, to cytat podany przez Roberta pochodzi z odpowiedzi, którą otrzymał po zgłoszeniu.
@Wojciech Smol:
Tak, jednak IMHO taka informacja powinna być u nich na oficjalnej stronie „Bug Bounty”. Co ciekawe to przedstawiciel PayPal broniąc się, twierdzi również, że dziura była już zgłoszona wcześniej http://www.techweekeurope.co.uk/news/paypal-17-year-old-bug-bounty-117433 Pytanie tylko czy to prawda, bo załatali ją dopiero jak się zrobił „szum” (a skomplikowane to raczej nie było) .
@redeemer,
Trudno będzie to rozstrzygnąć. W każdym razie skoro w tym ogólnodostępnym regulaminie nie ma mowy o wymaganym wieku minimalnym, to tym łatwiej zrozumieć rozgoryczenie Roberta.
PayPal jest firmą krzakiem bez jasno określonej siedziby. Blokuje ludziom konta za byle co. Bez możliwości odzyskania pieniędzy które na tych kontach były. Nie jest ważne ile ich tam było. Dlatego nigdy nie trzymam tam pieniędzy. Jest wpłata? Jest natychmiastowa wypłata ;) Po tym co zdążyłem na ich temat przeczytać wcale nie dziwi mnie postawa przedstawiciela tej pseudo płatności.
Do dyskusji włączył się Shubham Shah, który najwyraźniej rzeczywiście zgłosił ten sam problem wcześniej: http://seclists.org/fulldisclosure/2013/May/211
Co jednak najciekawsze, on również nie otrzymał wynagrodzenia, ponieważ rzekomo ktoś inny go uprzedził, nie podano mu jednak żadnych szczegółów.
Ostatecznie wygląda więc na to, że Paypal naprawdę powinien mocno popracować nad przejrzystością całego programu…