Cuentas de PayPal son hackeadas con un sencillo exploit

0

Un hacker egipcio demostró recientemente que, mediante un sencillo exploit, es posible asumir el control de cualquier cuenta de PayPal debido a una serie de fallos de diseño.

Vulnerabilidad en Paypal

Yasser H. Ali, el descubridor de la vulnerabilidad, ha informado de diversos fallos de seguridad en la web de PayPal, que podrían ser aprovechados por un atacante para hacerse con el control de cuentas de usuarios registrados. Entre las diversas triquiñuelas que los atacantes podrían llevar a cabo encontramos:

  • CSRFCross Site Requested Forgery
  • Bypass del token de autenticación
  • Fallo en el restablecimiento de contaseña mediante pregunta de seguridad

PayPal tiene deberes pendientes

El sitio web de PayPal está afectado por CSRF, una vulnerabilidad que permite que un atacante se haga con el control de cuentas de usuario. Esta vulnerabilidad podría afectar a muchos millones de usuarios de PayPal. Cross Site Request Forgery posibilita que un usuario lleve a cabo acciones no deseadas sobre una aplicación web, una vez ha pasado la barrera de autenticación.

Siguiendo un esquema típico de ataque, lo que el hacker haría después es enviar un enlace mediante un email o plataforma de medios sociales, quizá incluso diseñar un exploit especial en HTML para engañar a la víctima y conseguir que esta lleve a cabo las acciones deseadas por el atacante.

Yasser ha proporcionado una PoC (prueba de concepto) en vídeo para explicar como funciona esta vulnerabilidad y como consigue, mediante un sencillo exploit automatizado, los beneficios de las 3 vulnerabilidades por explotar. 

Detalles del exploit

Yasser se ha valido del exploit CSRF para asociar un ID de correo electrónico secundario en la cuenta de PayPal deseada (usuario objetivo). Después, ha reseteado las preguntas de seguridad de la plataforma asociadas a la víctima.

Cuentas de PayPal heckeadas por un investigadorPara evitar la detección de la solicitud manipulada, enviada por un atacante que intenta impersonarse (hacerse pasar por otra persona), PayPal implementa un mecanismo de Tokens, pero dicho mecanismo también está en horas bajas y es sobrepasado por Yasser sin problemas.

Ejecutando su exploit, Yasser h. Ali añadirá una dirección de email correspondiente al “atacante” en la cuenta de la víctima, para solicitar después un restablecimiento de contraseña mediante el sistema de preguntas que, a su paso, el atacante ya habrá preparado. Dichas preguntas serán contestadas con el conocimiento del atacante y la cuenta será, de forma efectiva, del hacker o ciber-delincuente.

Así explicaba Yasser Alí parte del proceso:

“I found out that the CSRF Auth is Reusable for that specific user email address or username, this means If an attacker found any of these CSRF Tokens, He can then make actions in the behave of any logged in user.”

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR