Nueva vulnerabilidad en PayPal permite el robo de todo tu dinero


(thehackernews) – Una vulnerabilidad de seguridad crítica se ha descubierto en la unidad de negocio de comercio electrónico propiedad de eBay, PayPal; esta podría permitir a atacantes el robar tus credenciales de acceso, e incluso los datos de tu tarjeta de pago en un formato sin cifrar (encriptado).
Un investigador con sede en Egipto, Ebrahim Hegazy descubrió una vulnerabilidad de almacenamiento Cross Site Scripting (XSS) en el dominio de pagos seguros del PayPal.
Como suena, el dominio se utiliza para realizar pagos seguros en línea en la compra de cualquier sitio web de compras en línea. Permite a los compradores pagar con sus tarjetas o cuentas de PayPal, lo que elimina la necesidad de almacenar información de pago sensible.
Sin embargo, es posible que un atacante pueda establecer una tienda en línea maliciosa (falsa) o secuestre un sitio de compras web legítimas, para engañar a los usuarios en que entreguen sus datos personales y financieros.
Hegazy explica un proceso paso a paso en su blog, que da una explicación detallada del ataque.
Aquí está lo que el investigador llama el peor escenario de ataque:
  • Un atacante debe configurar un sitio de compras falso o secuestrar cualquier sitio legítimo
  • Ahora modifique el botón “Checkout” con una URL diseñada para explotar la vulnerabilidad XSS
  • Cada vez que los usuarios de PayPal navegan por la página web de compras con malformaciones, y hagan clic en el botón “Checkout” para pagar con su cuenta de Paypal, que van a ser redirigidos a la página de pagos seguros
  • La página que en realidad se muestra es una página de phishing, donde se les pide a las víctimas que introduzcan su información de tarjeta de pago para completar la compra
  • Ahora al hacer clic en el botón de pago Enviar, en lugar de pagar el precio del producto (digamos $ 100), el usuario de Paypal pagará la cantidad de elección del atacante al mismo atacante.

Demostración en vídeo

El investigador ha facilitado una prueba de concepto en vídeo que muestra un ataque el trabajo.

Puedes ver el vídeo aquí:


Hegazy informó esta grave vulnerabilidad de seguridad al equipo de PayPal el 19 de junio, y el equipo confirmó falla el 25 de agosto – poco más de dos meses después.

PayPal también ha premiado a Hegazy con una recompensa de errores por USD $750 por sus hallazgos, que es el máximo pago por recompensa de errores que la compañía ha dado por una vulnerabilidades XSS.

Leave a Reply