محققان شرکت امنیت سایبری Cybernews گزارشی را منتشر کردند که جزئیات یافتن شش آسیب پذیری در سیستم پرداخت الکترونیکی PayPal را نشان می دهد که در صورت بهره برداری، به بازیگران تهدید و هک کردن اجازه می دهد حملات مختلفی را انجام دهند. از جمله دور زدن احراز هویت چند عاملی ، ارسال کد مخرب و سایر موارد که باعث هک کردن پی پال شده و آسیبی جدی به مشتریان این شبکه پرداخت آنلاین وارد می کند.
آسیب های موجود در پی پال
در زیر توضیح مختصری در مورد هر یک از آسیب پذیری های موجود در پی پال را مطرح کرده و به بررسی آن ها می پردازیم. در صورتی که تصمیم دارید برای افتتاح حساب پی پال اقدام کنید، می توانید از طریق کارشناسان 20پیمنت این کار را انجام دهید تا با استفاده از تجربه و تخصص ایشان، مسیر این کار به درستی و کامل انجام شده و به سادگی بتوانید از این شبکه پرداخت آنلاین قدرتمند برای تجارت بین المللی و یا خریدهای خارجی خود استفاده کنید.
انواع حملات و هک کردن پی پال
گذراندن احراز هویت دو فاکتور (2FA)
متخصصان امنیت سایبری دریافتند که می توان با استفاده از نسخه فعلی برنامه PayPal برای Android ، از احراز هویت دو عاملی (2FA) عبور کرد و برای هک کردن پی پال اقدام نمود. این معیار امنیتی هنگامی فعال می شود که کاربر سعی می کند از یک دستگاه، مکان یا آدرس IP جدید به سیستم عامل وارد شود. برای انجام این کار، محققان از پروکسی MiTM استفاده کردند و پس از یک سری مراحل، یک رمز برای ورود به حساب دریافت کردند.
این نقص اصلاح نشده است، بنابراین نمی توان جزئیات فنی بیشتری از حمله را فاش کرد. علاوه بر این، این فرایند کمی پیچیده است و چند دقیقه طول می کشد تا تکمیل شود، بنابراین کاربران در معرض خطر جدی قرار می گیرند. می توانید هنگام افتتاح حساب پی پال خود، در این خصوص، راهنمایی های لازم را از کارشناسان 20پیمنت دریافت کنید.
پیشنهاد مطالعه: تغییر حساب بیزینسی پی پال به حساب پرسونال
یکبار تأیید تلفن با پین کمتر
محققان همچنین راهی برای تأیید شماره تلفن جدید در PayPal بدون پین یکبار مصرف (OTP) کشف کردند، سیستمی برای بررسی اینکه آیا شماره تلفن با دارنده حساب مرتبط است یا خیر. در غیر این صورت، شماره رد می شود. وقتی کاربر تلفن جدیدی را ثبت می کند، با api-m.paypal.com تماس می گیرد که وضعیت تأییدیه تلفن را ارسال می کند. متخصصان نشان دادند که امکان تغییر این تماس به آسانی وجود دارد، بنابراین PayPal ثبت شماره جدید را به اشتباه تأیید می کند که منجر به هک کردن پی پال خواهد شد.
مأموریت ارسال امن پول
برای جلوگیری از کلاهبرداری و سایر اقدامات غیرقانونی ، PayPal ، در میان سایر اقدامات ، مکانیزمی را اجرا کرد که در صورت تشخیص یک یا چند مورد از شرایط زیر فعال می شود:
-یک دستگاه جدید شناسایی می شود
-تلاش های شناسایی شده برای ارسال پرداخت از محل یا آدرس IP متفاوت
-تغییراتی در الگوی انتقال و پرداخت منظم کاربران مشاهده می شود
-حساب جدید ایجاد شده است
در صورت برآورده شدن این شرایط ، PayPal برخی از پیام های خطا را برای کاربران ارسال می کند که مانند "برای ارسال پول باید روش پرداخت جدیدی را پیوند دهید" و یا "پرداخت شما رد شد ، بعداً دوباره امتحان کنید" خواهد بود. در طول تحقیقات مشخص شد که این مکانیسم مسدود کردن ارسال در برابر حملات هک کردن پی پال ، آسیب پذیر است، بنابراین یک مهاجم با دسترسی به اعتبارنامه PayPal می تواند به حساب های آسیب دیده دسترسی پیدا کند.
پیشنهاد مطالعه: تغییر حساب پرسونال پی پال به حساب بیزینسی
تغییر نام کامل
یک ویژگی پیش فرض در PayPal بیان می کند که کاربران می توانند در یک زمان فقط یک یا دو کاراکتر از نام خود را تغییر دهند. پس از انجام این کار، این گزینه ناپدید می شود. متخصصان امنیت سایبری یک حساب آزمایشی برای نشان دادن وجود نقصی ایجاد کردند که امکان تغییر نام کامل را در هر زمان فراهم می کند.
آسیب پذیری XSS در SMARTCHAT
SmartChat یک چت خودیاری در PayPal است که به کاربران امکان می دهد به متداول ترین پرسش ها و پاسخ ها دسترسی پیدا کنند. متخصصان امنیت سایبری دریافتند که این پیاده سازی فاقد اعتبار است که متنی را که کاربران وارد می کنند تأیید کند. با استفاده از حمله Man-in-The-Middle (MiTM) ، محققان توانستند ترافیک هدایت شده به سرورهای PayPal را ضبط کرده و بار مخرب را به آنها اضافه کنند و یکی از احتمالات هک کردن پی پال را بررسی کنند.
آسیب پذیری XSS در پرسش های امنیت
این یک نقص مشابه موارد فوق است که وجود دارد. زیرا PayPal ورودی سوالات امنیتی خود را اشکال زدایی نمی کند. این خطا با استفاده از روش مشابهی که در پیش از این توضیح داده شد، قابل بهره برداری است. یک بازیگر تهدید می تواند برای استخراج داده های حساس، اسکریپت هایی را به حساب افراد دیگر تزریق کند که منجر به هک کردن پی پال خواهد شد.
پیشنهاد مطالعه: چگونه پسوورد پی پال را تغییر دهیم
توجه داشته باشید در صورتی که از آسیب پذیری های این نوع از حساب اطلاع داشته باشید، می توانید به آسانی از حساب پی پال خود استفاده نمایید. ضمن آنکه پی پال، یکی از قوی ترین و ایمن ترین شبکه های پرداخت آنلاین بین المللی است.
به گفته موسسه بین المللی امنیت سایبری (IICS) ، ایرادات گزارش شده اصلاح نشده است، بنابراین میلیون ها کاربر PayPal در معرض سوء استفاده قرار می گیرند. مانند بسیاری از شرکت های فناوری دیگر ، PayPal دارای برنامه پاداش آسیب پذیری است که از طریق پلت فرم HackerOne اداره می شود.
اگرچه این یکی از شناخته شده ترین پلتفرم های افشای اطلاعات است، متخصصان امنیت سایبری معتقدند مدل گزارشگری فعلی HackerOne تا حدودی مانع از کار هک کردن پی پال می شود و حتی اقدامات غیرقانونی مانند سوء استفاده در بازار سیاه هک را مانع می شود.
