Stand de Paypal en el MWC Barcelona 2013, sus usuarios ya están seguros

Más de 156 millones de usuarios de PayPal podrían haber visto peligrar sus cuentas en el servicio. Recientemente se ha revelado una vulnerabilidad crítica que permite a un atacante tomar el control de las cuentas de usuario de Paypal en un solo clic.

El ingeniero egipcio Yasser H. Ali, experto en seguridad, explicaba hace pocos meses en su blog cómo es posible hackear las cuentas de PayPal en un clic.

La debilidad está localizada en el sistema de prevención de CSRF (Cross-Site Request Forgery) de Paypal que se encarga de autenticar cada solicitud realizada por el usuario.

Un ataque CSRF fuerza al navegador web validado de una víctima a enviar una petición a una aplicación web vulnerable, la cual entonces realiza la acción elegida a través de la víctima.

En el caso de Paypal, esta vulnerabilidad permitiría hacer modificaciones en la dirección de correo electrónico del usuario, cambiar las preguntas de seguridad, cambiar la dirección de facturación/envío o modificar los métodos de pago, entre otras.

En este vídeo de prueba publicado ayer mismo por Ali en YouTube se ilustra el proceso:

Los usuarios a salvo gracias al Bug Bounty Program de Paypal

Por suerte, Yasser Ali no es un ciberdelincuente sino un investigador de seguridad que forma parte del PayPal Bug Bounty Program, el programa de recompensas de Paypal que tiene como objeto detectar y solucionar las vulnerabilidades del popular sistema de pagos en Internet propiedad de eBay.

Respecto a la vulnerabilidad descubierta por Yasser Ali podemos respirar tranquilos. Esto es lo que dijo un portavoz de Paypal a VentureBeat:

Nuestro equipo trabajó rápidamente para hacer frente a esta vulnerabilidad y ya hemos solucionado el problema. No hay ninguna evidencia de que ningún cliente se haya visto afectado. Estamos muy agradecidos a la comunidad de seguridad por sus contribuciones al programa de recompensas y por ayudarnos a mantener segura la información de nuestros clientes.

Además del enorme agradecimiento por parte de los representantes de Paypal, Yasser Ali se llevó la recompensa de 10.000 dólares como parte del programa de notificación de vulnerabilidades de Paypal. Un merecido premio, ¡sin duda!

Kārlis Dambrāns editada con licencia CC 2.0

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?