CyberNews ja PayPal ajautuivat riitaan haavoittuvuuksista - Tietoturva - Ilta-Sanomat

Kova syytös: PayPalista löytyi aukkoja – joku veti välistä eikä rahaa tullut

PayPal on ilmoittanut maksavansa bug boyntyja eli palkkioita haavoittuvuuksien löytämisestä. Nyt yhtiötä syytetään siitä, ettei se toimi lupauksensa mukaan.

PayPal on ilmoittanut maksavansa bug boyntyja eli palkkioita haavoittuvuuksien löytämisestä. Nyt yhtiötä syytetään siitä, ettei se toimi lupauksensa mukaan.

Julkaistu: 26.2. 16:00

CyberNews haukkuu PayPalia haavoittuvuuksien lyttäämisestä ja kyseenalaistaa niitä käsittelevien ihmisten motiivit.

Tietoturvauutisia ja -tutkimusta tekevä CyberNews on turhautunut maksupalvelu PayPaliin. CyberNews julkaisi katkeran artikkelin, jossa se moittii PayPalin haavoittuvuuksien vastuullista raportointia varten luotua palkkio-ohjelmaa kömpelöksi ja suorastaan epäilyttäväksi.

PayPal käyttää haavoittuvuuksien vastaanotossa HackerOne-palvelua, mikä tekee kritiikin kohdistamisesta hankalaa. Kuitenkin CyberNews väittää, ettei sen havaintoa PayPalin kirjautumissuojan ohittamisesta ole otettu vakavasti.

CyberNewsin mukaan PayPalin yllättävissä kirjautumisissa pyytämä lisävahvistus voidaan kokonaan ohittaa näpelöimällä kirjautumisprosessin tietoja. Tällöin tilille voi päästä yksinkertaisesti ostamalla halvalla PayPal-kirjautumistietoja verkon pimeiltä markkinoilta. PayPal ei suostunut maksamaan aukosta, koska se edellyttää kirjautumistietojen joutuneen jo valmiiksi vääriin käsiin.

Forbes-lehden mukaan kyseessä saattaa olla ainakin osittainen väärinkäsitys. CyberNewsin mukaan haavoittuvuus koski PayPalin kaksivaiheista tunnistusta. Mutta tarkalleen ottaen kaksivaiheinen tunnistus tarkoittaa salasanan lisävahvistusta puhelimeen lähetettävällä koodilla, eikä CyberNews onnistunut ohittamaan tätä prosessia. Kyse on vain tilanteista, joissa PayPal huomaa kirjautumisyrityksen uudesta laitteesta tai sijainnista ja sen vuoksi haluaa lisävarmistuksen kirjautujalta.

CyberNews kertoo myös ilmoittaneensa PayPalille myös viidestä muusta haavoittuvuudesta, joista se myös sanoo jääneensä vaille rahaa tai kunniaa. CyberNewsin mukaan tunnistautumisaukkoa voitaisiin käyttää helposti yhden tai kahden muun sen löytämän aukon kanssa rahan lähettämiseksi tiliin kytketyn pankkitilin tai maksukortin kautta. Tai vaihtoehtoisesti tilinhaltijan nimen muuttamiseksi ja alkuperäisen käyttäjän lukitsemiseksi ulos.

CyberNews menee niinkin pitkälle, että epäilee koko haavoittuvuuksien raportointitapaa mädäksi. Koska ilmoitetut aukot menevät ensin HackerOnen hakkerien tarkistettavaksi, heillä olisi motiivi omia aukot itselleen ja rahastaa niillä itse. CyberNews ei väitä, että niin todella tapahtuu tai esitä todisteita teoriansa tueksi.

HackerOne ei kommentoinut asiaa Forbesille, mutta PayPal vakuutti ottavansa haavoittuvuusraportit vakavasti. Sen mukaan CyberNewsin väitteet ovat virheellisiä ja harhaanjohtavia. Ei ole selvää, kommentoiko PayPal vain CyberNewsin haavoittuvuuksia, vai myös väitteitä niiden mahdollisesta väärinkäytöstä tarkistajien käsissä. PayPal korosti, että asiakkaiden tilien tyhjentäminen ei ole todellinen riski, koska mahdollisten bugien aiheuttamat menetykset korvattaisiin uhreille.