Los fallos de seguridad en este servicio se encuentran a la orden del día. El último fallo conocido permitía al usuario duplicar el dinero gracias a la función de reclamaciones. Aunque era considerado más un fallo de política de uso del servicio que de seguridad, nuevamente tenemos que hablar de un nuevo problema de seguridad en el servicio PayPal que podría afectar a los usuarios de forma directa.
Lo peculiar de este nuevo fallo de seguridad es que ha sido provocado por los propios responsables del servicio arreglando varias vulnerabilidades, pero de forma totalmente involuntaria. Benjamin Kunz Mejri, el experto en seguridad que ha sido el encargado de descubrir el fallo de seguridad, ha explicado que este se encuentra localizado en la aplicación de gestión que posee la página web, pudiéndose incluso saltarse la autenticación que se necesita para acceder a esta portal y a sus funcionalidades.
Sin embargo, aunque pueda parecer nuevo, el experto en seguridad detalla que se trata de un fallo de seguridad que ya fue resuelto anteriormente y que sin embargo con las correcciones que se han introducido ha vuelto a quedar al descubierto.
«Para PayPal lo más importante es la seguridad de los usuarios»
Después de este nuevo descubrimiento puede que esta frase que ha salido de los propios responsables del servicio se tome a risa, sobre todo teniendo en cuenta que han sido ellos los que han creado esta vulnerabilidad que previamente no existía. La compañía ha resuelto hasta un total de 4 vulnerabilidades que permitían la inclusión en su backend de código de forma totalmente remota, algo similar a los ataques XSS.
Sin embargo, este nuevo fallo de seguridad que ha sido detectado provoca que los usuarios de la plataforma puedan estar expuestos a sufrir ataques por parte de ciberdelincuentes. De forma remota se podría introducir código en la página para crear elementos con los que el usuario podría interactuar, accediendo por ejemplo a páginas falsas con la finalidad de robar las credenciales de estos usuarios.
De nuevo se ha informado de este problema de seguridad a PayPal, afirmando que este problema de seguridad será resuelto pronto, dándose de plazo no más de tres días.
Fuente | The Register