Una vulnerabilidad en PayPal permite robar el dinero de las cuentas

Share this…

Un fallo de seguridad en un servicio de estas características implica un peligro importante, sobre todo si tenemos en cuenta los datos que se manejan. Expertos en seguridad han detectado una vulnerabilidad que afecta al servicio PayPal y que deja expuestos los datos de la cuenta a ciberdelincuentes.

Además de dejar al descubierto las credenciales de acceso a la cuenta del servicio, los ciberdelincuentes podrían hacerse de forma sencilla con los datos pertenecientes a las tarjetas de crédito utilizados en la cuenta, ya que estos se encuentran en texto plano.

Se trata de una vulnerabilidad XSS en toda regla que ha sido descubierta esta misma semana por el investigador egipcio Ebrahim Hegazy y reportada a los responsables del servicio.

Sin lugar a dudas, PayPal resulta de mucha utilidad para todos aquellos usuarios que no quieran utilizar directamente sus datos para realizar el pago en tiendas en línea, evitando posibles robos de información, sin embargo, de nada sirve este tipo de precauciones si el peligro se encuentra en el propio servicio.

¿Cómo se puede explotar esta vulnerabilidad?

El investigador ha detallado en su blog el proceso completo para realizar el robo de los datos que hemos mencionado con anterioridad.

Para llevar a cabo este proceso, en primer lugar se debe crear una tienda en línea falsa o hackear alguna ya existente, modificando el botón encargado de conducir al usuario a la página propia para realizar el pago.

Una vez conseguido esto, el usuario será conducido a una nueva página propiedad de los ciberdelincuentes que continuará protegida bajo SSL. Sin embargo, esta es totalmente falsa y servirá para llevar a cabo el robo de los datos que el usuario introducirá en el formulario existente.

Cuando el usuario pulse en realizar el pago, este habrá abonado la cantidad a los ciberdelincuentes y es probable que haya suministrado más datos de los necesarios, llendo a parar a los servidores de los ciberdelincuentes.

Fuente:https://www.redeszone.net/