La seguridad del servicio Pay Pal es conocida por no ser la mejor, quedando demostrado este aspecto en numerosas ocasiones. Una vez más tenemos que hablar de un problema de seguridad que han descubierto un grupo de hackers, demostrando en un vídeo que se podía robar cualquier cuenta de usuario con un solo click aprovechando una vulnerabilidad que afectaba a la página web del servicio. Os recomendamos visitar nuestro tutorial sobre cómo pueden hackearme mi cuenta de usuario.
Siendo más precisos, esta vulnerabilidad afectaba a los más de 156 millones de cuentas activas que posee a día de hoy el servicio que fue adquirido por eBay. Yasser H.Ali, uno de los descubridores de este problema ha querido dar más detalles sobre este problema, y ha confirmado que en realidad son tres los problemas que se han detectado: una vulnerabilidad CSRF, otro que permite restablecer la pregunta de seguridad y uno que permite saltarse el proceso de verificación de las peticiones que son enviadas a la página utilizando tokens.
Para explotar la vulnerabilidad CSRF el atacante solo necesita que el usuario acceda a un exploit que puede estar camuflado en un enlace, el cual se encargará de realizar una petición a la página web vulnerable.
Pay Pal implementa un sistema que permite verificar las peticiones que son enviadas al servidor por medio de unos tokens. Tal y como vamos a poder ver en el siguiente vídeo, el grupo de hackers ha descuibierto cómo evitar esta verificación, permitiendo asociar a una cuenta de usuario una nueva dirección de correo electrónico y proceder al restablecimiento de la contraseña, produciéndose el secuestro de la cuenta.
La vulnerabilidad ya ha sido resuelta
Después de informar a los responsables del servicio, estos procedieron de forma inmediata a buscar una forma de solucionar el problema. El experto en seguridad no ah querido publicar antes detalles sobre la vulnerabilidad para no comprometer la seguridad de los datos de los usuarios. Sin embargo, después de confirmarse la solución a este problema, el grupo de hackers ha mostrado todo tipo de detalles sobre cómo se podría haber realizado un robo de cuentas de forma masiva e invirtiendo apenas 1 minuto por cuenta.