القائمة الرئيسية

الصفحات

موقع Paypal يتعرض لثغرة من نوع تجاوز التحقق

الحمد لله وحده نحمده ونشكره ونستعين به ونستغفره وأشهد أن محمدا عبده ورسوله صلى الله عليه وسلم وعلى آله وصحبه أجمعين . ربنا لا علم لنا إلا ما علمتنا, إنك أنت العليم الخبير.ربنا لا فهم لنا إلا   ما أفهمتنا, إنك أنت  الجوّاد الكريــم ربي اشرح لي صدري ويسر لي أمري واحلل عقدة من لساني يفقهوا قولي.
موقع Paypal يتعرض لثغرة من نوع تجاوز التحقق

تعرض أشهر موقع يقدم خدمات الدفع الإلكتروني Paypal لثغرة تسمح للمخترقين من تجاوز عملية الحجب و الفلترة للوصول للحسابات التي تم ايقافها و حجبها على موقعهم. حيث ظهرت هذه الثغرة في الإجراء الخاص بعملية التحقق من المستخدمين و الموجود في خدمة API الخاصة بالهواتف المحمولة و المقدمة من هذه الشركة, بحيث لا يقوم هذا الإجراء من التحقق من الحسابات المغلقة و منعها من الدخول.

فاذا قام المستخدم بإدخال بيانات دخول خاطئة و لأكثر من مرة فإن الحساب يتم اقفاله لغايات أمنية و لا يكون بإمكان المستخدم الدخول من حاسوبه الشخصي على حسابه الا عن طريق الإجابة على عدد من أسئلة التحقق . الا أنه اذا قام هذا الشخص بتجربة الدخول للحساب الخاص به من تطبيق الموبايل الرسمي الخاص بموقع Paypal فان المستخدم سيكون قادر للدخول الى حسابه بشكل طبيعي دون الحاجة الى أي سؤال أمني. حيث وجد بأن الإجراء الخاص بالتحقق من عملية الدخول على الموبايل يتحقق فقط من بيانات المستخدم و لا يتحقق من حالته.

قد يتسائل البعض ما الخطر في ذلك؟؟؟
عندما يقوم أي محتال عبر شبكة الإنترنت بسرقة أموال و تحويلها لحسابه الشخصي فإنه يتم حجب و اغلاق حسابه بشكل مؤقت بحيث لا يتمكنن من تحويل الأموال و اجراء أي عملية أخرى, لكن هذه الثغرة تسمح لهذا المحتال الدخول الى حسابه المغلق من خلال تطبيق الموبايل و التعامل مع الأموال و نقلها و إجراء اي أمور أخرى…

يذكر بأنه قد تم إكتشاف هذه الثغرة الخطيرة في Paypal Mobile API منذ حوالي العام من قبل الباحث الامني Benjamin Kunz Mejri, و قد تم الإبلاغ عنها في حينها الا أنه و لغاية الآن لم يتم إصلاح الثغرة بالإضافة الى أنه لم يتم مكافئته على إكتشافه و ابلاغه عن هذه الثغرة. وحسب ما هو موثق في موقع Paypal فإن ثغرة تجاوز التحقق للحسابات تعتبر من أخطر الثغرات و لكن لم يتم إعطاء هذه الثغرة أي معرف خاص بها.