أخبار أمن المعلومات

موقع Paypal يتعرض لثغرة من نوع تجاوز التحقق

تعرض أشهر موقع يقدم خدمات الدفع الإلكتروني Paypal لثغرة تسمح للمخترقين من تجاوز عملية الحجب و الفلترة للوصول للحسابات التي تم ايقافها و حجبها على موقعهم. حيث ظهرت هذه الثغرة في الإجراء الخاص بعملية التحقق من المستخدمين و الموجود في خدمة API الخاصة بالهواتف المحمولة و المقدمة من هذه الشركة, بحيث لا يقوم هذا الإجراء من التحقق من الحسابات المغلقة و منعها من الدخول.

فاذا قام المستخدم بإدخال بيانات دخول خاطئة و لأكثر من مرة فإن الحساب يتم اقفاله لغايات أمنية و لا يكون بإمكان المستخدم الدخول من حاسوبه الشخصي على حسابه الا عن طريق الإجابة على عدد من أسئلة التحقق . الا أنه اذا قام هذا الشخص بتجربة الدخول للحساب الخاص به من تطبيق الموبايل الرسمي الخاص بموقع Paypal فان المستخدم سيكون قادر للدخول الى حسابه بشكل طبيعي دون الحاجة الى أي سؤال أمني. حيث وجد بأن الإجراء الخاص بالتحقق من عملية الدخول على الموبايل يتحقق فقط من بيانات المستخدم و لا يتحقق من حالته.

قد يتسائل البعض ما الخطر في ذلك؟؟؟

عندما يقوم أي محتال عبر شبكة الإنترنت بسرقة أموال و تحويلها لحسابه الشخصي فإنه يتم حجب و اغلاق حسابه بشكل مؤقت بحيث لا يتمكنن من تحويل الأموال و اجراء أي عملية أخرى, لكن هذه الثغرة تسمح لهذا المحتال الدخول الى حسابه المغلق من خلال تطبيق الموبايل و التعامل مع الأموال و نقلها و إجراء اي أمور أخرى…

يذكر بأنه قد تم إكتشاف هذه الثغرة الخطيرة في Paypal Mobile API منذ حوالي العام من قبل الباحث الامني Benjamin Kunz Mejri, و قد تم الإبلاغ عنها في حينها الا أنه و لغاية الآن لم يتم إصلاح الثغرة بالإضافة الى أنه لم يتم مكافئته على إكتشافه و ابلاغه عن هذه الثغرة. وحسب ما هو موثق في موقع Paypal فإن ثغرة تجاوز التحقق للحسابات تعتبر من أخطر الثغرات و لكن لم يتم إعطاء هذه الثغرة أي معرف خاص بها.

وحسب ما ذكره هذا الباحث الامني فإن الثغرة موجودة في تطبيق موبايل المخصص للأجهزة التي تعمل بنظام تشغيل Apple iOS و بالإصدارات من 4.6.0 و لغاية الإصدار الحالي و هو 5.8 و الفيديو التالي يوضح طريقة عمل هذه الثغرة و هو من قناة الفريق الأمن الذي يعمل معه هذا الباحث :

لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

محمد خريشة

مهندس حاسوب من الأردن مهتم ومهووس بكل ماله علاقة بالتقنية على اختلاف اصنافها, عملت و مازلت اعمل كمطور لمواقع الويب بشكل فردي, عملت بمؤسسات اردنية كمهندس شبكات ومن ثم مهندس انظمة و حماية و الآن أعمل كمدير لقواعد بيانات اوراكل بالإضافة الى ادراة خوادم *nix , لدي خبرة بالتعامل و ادارة نظام تشغيل OpenVMS و نظام البريد الإلكتروني Exchange Server من شركة مايكروسوفت . من اهتماماتي اثراء المحتوى التقني العربي بكل ما هو جديد.

مقالات ذات صلة

تعليق واحد

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

1 × 4 =

إغلاق