Una vulnerabilidad en PayPal permite robar el dinero de las cuentas

Escrito por Adrián Crespo
Comercio Online
2

Un fallo de seguridad en un servicio de estas características implica un peligro importante, sobre todo si tenemos en cuenta los datos que se manejan. Expertos en seguridad han detectado una vulnerabilidad que afecta al servicio PayPal y que deja expuestos los datos de la cuenta a ciberdelincuentes.

Además de dejar al descubierto las credenciales de acceso a la cuenta del servicio, los ciberdelincuentes podrían hacerse de forma sencilla con los datos pertenecientes a las tarjetas de crédito utilizados en la cuenta, ya que estos se encuentran en texto plano.

Se trata de una vulnerabilidad XSS en toda regla que ha sido descubierta esta misma semana por el investigador egipcio Ebrahim Hegazy y reportada a los responsables del servicio.

Sin lugar a dudas, PayPal resulta de mucha utilidad para todos aquellos usuarios que no quieran utilizar directamente sus datos para realizar el pago en tiendas en línea, evitando posibles robos de información, sin embargo, de nada sirve este tipo de precauciones si el peligro se encuentra en el propio servicio.

¿Cómo se puede explotar esta vulnerabilidad?

El investigador ha detallado en su blog el proceso completo para realizar el robo de los datos que hemos mencionado con anterioridad.

Para llevar a cabo este proceso, en primer lugar se debe crear una tienda en línea falsa o hackear alguna ya existente, modificando el botón encargado de conducir al usuario a la página propia para realizar el pago.

Una vez conseguido esto, el usuario será conducido a una nueva página propiedad de los ciberdelincuentes que continuará protegida bajo SSL. Sin embargo, esta es totalmente falsa y servirá para llevar a cabo el robo de los datos que el usuario introducirá en el formulario existente.

Cuando el usuario pulse en realizar el pago, este habrá abonado la cantidad a los ciberdelincuentes y es probable que haya suministrado más datos de los necesarios, yendo a parar a los servidores de los ciberdelincuentes.

PayPal ha recompensado al investigador

Tras reportar el fallo de seguridad a los responsables del servicio, el investigador ha sido felicitado por estos, abonándole además 750 dólares como signo de agradecimiento por el error descubierto. De esta forma se convierte en el investigador que ha percibido la mayor cantidad de dinero tratándose de una vulnerabilidad XSS.

Fuente | The Hacker News


Continúa leyendo
  • Daniel

    $750 por haberles informado de un bug que podría haber vendido por millones en el mercado negro. Será la recompensa más alta pero sigue siendo peligrosamente baja si debe ser un referente para futuros bugs.

  • Shein

    No entiendo nada de esto solo quiero comprarme cosas en un juego que pido paypal pero
    yo no tengo dinero alguien que me ayude que haiga hecho este bug

Últimos análisis

Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10