Un fallo de seguridad en Paypal podría filtrar sus tarjetas

0

Un fallo de seguridad en Paypal descubierto esta semana pasada podría acabar filtrando datos de usuarios de la empresa, como las tarjetas que el usuario haya decidido guardar por usarlas habitualmente.

Fallo de seguridad en Paypal

El fallo es de tipo XSS o Cross Site Scripting y podría ser utilizado por los hackers para hacernos “Phishing” sobre nuestro inicio de sesion, además de obtener nuestros datos de pago sin cifrar.

La sangre no llegó al río

Por suerte, en este caso el fallo ha sido descubierto por un investigador de ciberseguridad responsable, que informó enseguida a Paypal del problema y, de paso, evitó que les pusieran la “cara colorada” por un fallo tan garrafal en su sistema.

Ebrahim Hegazy es un “cazador de vulnerabilidades” egipcio, que se ha hecho a sí mismo un nombre a base de buscar fallos de seguridad en Paypal y empresas de similar tamaño, bien reconocidas: Google, Yahoo, Microsoft, Twitter, Yandex o Ebay.

Durante los últimos meses, ha estado más pendiente de la plataforma “securepayments.paypal.com.”

Fallo de seguridad en Paypal neutralizado

Somos muchos los que, cuando tenemos que pagar online, preferimos habitualmente pagar mediante Paypal, ya que nos inspira más confianza que el sistema de pago de una empresaa o tienda pequeña. Eso es precisamente lo que cualquier atacante que planee aproximars a una empresa como Paypal estará pensando.

Formas de ataque mediante Phishing

Como detalla en su blog, Hegazy comenta que un actor malicioso puede crear una tienda ficticia, desde la que incluir un medio de pago “Paypal” y llevar a cabo su ataque.

Cuando la víctima hace click sobre el botón de “pago”, se le lleva a una URL que explotará el fallo XSS en la dirección “securepayments.paypal.com” y le mostrará una convincente página donde deberá facilitar sus datos de acceso, que serán entonces capturados por el atacante.

El problema con este tipo de ataques es que el pobre comprador engañado ha estado siempre en la web original de Paypal.

El experto ha publicado un vídeo demostrativo en Youtube, donde se puede apreciar lo sencillo que resulta interceptar los datos que el usuario introduce.

Recompensa recibida

SecurityWeek informó de que Hegazy ha recibido un premio de 750$ por su descubrimiento, que es el máximo que la empresa paga por este tipo de fallos XSS.

Sin embargo, no hace falta darle mucho al coco para llegar a la conclusión de que, si hubiera querido, otro actor malicioso habría podido desplegar rápidamente un ataque o vender el código con el que multiplicar este importe de forma importante. ¿Creéis que está bien pagado? Nosotros pensamos que no.

Lo cierto es que los ataques de tipo XSS (Cross Site Scripting) siguen poniendo a muchas webs importantes en situaciones complicadas, antes de este fallo de seguridad en Paypal hemos presenciado muchos este año, incluso el de la propia CERT-US o base nacional de vulnerabilidades de EEUU. Por este motivo por el que son una de las principales preocupaciones del observatorio OWASP. Aparecen nuevos ataques similares cada semana y afectan todo tipo de webs sin importar tamaños o marcas.

Por favor, valora este artículo

  • User Ratings (2 Votes)
    9.6
Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR