পেপ্যাল হ্যাকারদের ওউথ টোকেন চুরি করতে বাধা দেওয়ার জন্য গুরুত্বপূর্ণ প্যাচ জারি করে

সুচিপত্র:

বৈধতা সিস্টেম গেমিং

OAuth পেপাল সহ অনেক ইন্টারনেট জায়ান্ট দ্বারা নিযুক্ত টোকেন-ভিত্তিক প্রমাণীকরণের জন্য একটি ওপেন স্ট্যান্ডার্ড হিসাবে কাজ করে। এই কারণেই হ্যাকাররা ব্যবহারকারীদের কাছ থেকে OAuth টোকেন চুরি করতে পারত এমন অনলাইন পেমেন্ট সার্ভিসে একটি জটিল ত্রুটি আবিষ্কার পেপ্যালকে স্ক্র্যামব্লিংকে কোনও প্যাচ গুটিয়ে ফেলার জন্য পাঠিয়েছে।

সিকিউরিটি গবেষক এবং অ্যাডোব সফটওয়্যার ইঞ্জিনিয়ার অ্যান্টোনিও সানসো তার নিজের OAuth ক্লায়েন্টটি পরীক্ষা করার পরে ত্রুটিটি আবিষ্কার করেছিলেন। পেপাল ছাড়াও সানসো অন্যান্য বড় ইন্টারনেট পরিষেবা যেমন ফেসবুক এবং গুগলের ক্ষেত্রেও একই দুর্বলতা সনাক্ত করেছিল detected

সানসো বলেছে যে অ্যাপ্লিকেশনগুলিকে নির্দিষ্ট করে প্রমাণীকরণ টোকেন দেওয়ার জন্য পেপাল যেভাবে redirect_uri পরামিতি পরিচালনা করে তাতে সমস্যা রয়েছে। ২০১৫ সাল থেকে পরিষেবাটি redirect_uri প্যারামিটারটি নিশ্চিত করতে বর্ধিত পুনঃনির্দেশ চেকগুলি ব্যবহার করে আসছে Still তবুও, সেপ্টেম্বরে যখন সিস্টেমটি তদন্ত শুরু করেছিলেন তখন সানসোকে এই চেকগুলি বাইপাস করা থেকে বিরত রাখেনি।

পেপাল বিকাশকারীদের একটি ড্যাশবোর্ড ব্যবহার করতে দেয় যা তাদের অ্যাপ্লিকেশনগুলিকে পরিষেবাতে তালিকাভুক্ত করতে টোকেন অনুরোধ তৈরি করতে পারে। ফলস্বরূপ টোকেন অনুরোধগুলি একটি পেপাল অনুমোদনের সার্ভারে প্রেরণ করা হয়। এখন, স্যানসো কীভাবে প্রমাণীকরণের প্রক্রিয়া চলাকালীন পেপাল কোনও লোকালহোস্টকে বৈধ redirect_uri প্যারামিটার হিসাবে স্বীকৃতি দেয় তাতে একটি ত্রুটি পেয়েছিল। তিনি বলেছিলেন যে এই পদ্ধতিটি ভুলভাবে ওআউথ প্রয়োগ করেছে।

বৈধতা সিস্টেম গেমিং

সানসো তারপরে পেপালের বৈধতা সিস্টেমটি খেলল এবং এটি অন্যথায় গোপনীয় OAuth প্রমাণীকরণ টোকেনগুলি প্রকাশ করুক। তিনি নিজের ওয়েবসাইটে একটি নির্দিষ্ট ডোমেন নাম সিস্টেম এন্ট্রি যুক্ত করে সিস্টেমটিকে কৌতুক করতে সক্ষম হন, উল্লেখ করে যে লোকালহোস্ট পেপালের সঠিক মিলের বৈধতা প্রক্রিয়াটিকে ওভাররাইড করার জন্য যাদু শব্দ হিসাবে কাজ করেছে।

দুর্বলতা স্যানসো অনুসারে যে কোনও পেপাল ওআউথ ক্লায়েন্টের সাথে আপস করতে পারে। তিনি OAuth ক্লায়েন্ট তৈরি করার সময় ব্যবহারকারীদের একটি খুব নির্দিষ্ট redirect_uri তৈরি করার পরামর্শ দিয়েছিলেন। সানসো একটি ব্লগ পোস্টে লিখেছেন:

ডিও রেজিস্টার করুন https: // yourouauthclientcom / oauth / oauthprovider / কলব্যাক। জাস্ট https: // yourouauthclientcom / বা https: // yourouauthclientcom / oauth নয়।

পেপাল প্রথমে সানসোর অনুসন্ধানগুলিতে বিশ্বাস করেনি, যদিও সংস্থাটি শেষ পর্যন্ত তার সিদ্ধান্তের বিষয়ে পুনর্বিবেচনা করেছে এবং এখন ত্রুটিটির একটি সমাধান জারি করেছে।

আউটলুক দুর্বলতা হ্যাকারদের পাসওয়ার্ড হ্যাশ চুরি করতে দেয়

মাইক্রোসফ্ট আউটলুক বিশ্বের অন্যতম জনপ্রিয় ইমেল প্ল্যাটফর্ম। আমি ব্যক্তিগতভাবে কাজের সাথে সম্পর্কিত হিসাবে আমার আউটলুক ইমেল ঠিকানার উপর নির্ভর করি। দুর্ভাগ্যক্রমে, আউটলুক যতটা সুরক্ষিত না হতে পারে আমরা ব্যবহারকারীরা ভাবতে চাই। কার্নেগি মেলন সফটওয়্যার ইঞ্জিনিয়ারিং ইনস্টিটিউট, আউটলুক দ্বারা প্রকাশিত একটি প্রতিবেদন অনুযায়ী ...

উইন্ডোজ 10 পাসওয়ার্ড ম্যানেজার বাগ হ্যাকারদের পাসওয়ার্ড চুরি করতে অনুমতি দেয়

গুগলের সুরক্ষা গবেষক তাভিস ওর্ম্যান্ডি সম্প্রতি উইন্ডোজ 10 এর পাসওয়ার্ড ম্যানেজারে এক দুর্বলতা আবিষ্কার করেছেন। এই বাগটি সাইবার আক্রমণকারীদের পাসওয়ার্ড চুরি করতে দেয়। এই ত্রুটিটি তৃতীয় পক্ষের কিপার পাসওয়ার্ড ম্যানেজার অ্যাপ্লিকেশন সহ আসে যা সমস্ত উইন্ডোজ 10 ডিভাইসে প্রাক ইনস্টল হয়। দেখে মনে হচ্ছে এই ত্রুটিটি একটির সাথে বেশ মিল similar

হ্যাকারদের দ্বারা চুরি হওয়া 427 মিলিয়নেরও বেশি মাইস্পেস অ্যাকাউন্ট এখন 2,800 ডলারে বিক্রি হচ্ছে

মাইস্পেস হ'ল একটি মৃত হাঁস, সামাজিক নেটওয়ার্ক ব্যবহার সম্পর্কে গুরুতর লোকেরা ব্যবহার করেন না। এ কারণে, হ্যাকাররা লক্ষ লক্ষ মাইস্পেস পাসওয়ার্ড কেবল ,000 3,000 এর নিচে বিক্রি করে দেখে অবাক হওয়ার কিছু নেই। সম্প্রতি, হ্যাকাররা সম্প্রতি ৪২7 মিলিয়ন মাইস্পেস অ্যাকাউন্ট দখল করতে সক্ষম হয়েছে, এমন একটি পদক্ষেপ যা প্রত্যাশা করবে…