PayPal pone solución a un problema que permitía el robo de cuentas

Escrito por Adrián Crespo
Comercio Online
3

Los fallos de seguridad en el servicio de pagos en línea son una constante, y no es la primera vez que los responsables de este se ven obligados a actuar para resolver un problema que afecta a la seguridad de los usuarios y sus cuentas. En esta ocasión, PayPal ha resuelto un problema detectado gracias al programa Bug Bounty, algo que suele ser habitual en muchos servicios, con la única diferencia de que el descubridor de este fallo no ha obtenido recompensa.

Aunque no se sabe desde cuándo está disponible la vulnerabilidad, todo parece apuntar a que el fallo de seguridad ya había sido notificado por otra persona en el mismo programa, sin embargo, PayPal había hecho oídos sordos y había dejado de lado la vulnerabilidad al menos una semana más desde que se hizo el primer reporte.

El problema reportado residía en el tratamiento de los archivos que los usuarios suben como imagen de perfil. Los usuarios de PayPal sabéis que solo se admiten archivos de imagen, pero los expertos han detectado que la página solo comprueba la extensión, olvidándose del contenido del archivo. Este fallo de seguridad permite la subida de un archivo SWF a la página del servicio con permisos totales de lectura. La subida de un archivo Flash permite que cualquier página perteneciente al subdominio del servicio puede provocar el robo de los datos de la cuenta de los usuarios, incluido el dinero existente gracias a peticiones que son enviadas a la cuenta.

Alguno de los datos obtenidos en una demostración son los siguientes:

paypal prueba fallo de seguridad corregido

Demasiados problemas y muy importantes

Muchas veces hemos criticado la seguridad tan débil que demostró en muchas ocasiones la red social Facebook. El servicio de pagos tampoco es una excepción y los fallos de seguridad a lo largo de un año se cuentan por decenas. Todos ellos son importantes y podrían afectar negativamente a los usuarios, tal y como hemos podido comprobar. En esta ocasión podría permitir hasta el robo del dinero de la cuenta que acceda a la página controlado por el fichero flash subido, por lo tanto, sería recomendable que hiciesen una revisión a fondo para que los errores existentes no fuesen tan dramáticos y que sus consecuencias no sean tan preocupantes.

Fuente | Softpedia