Vulnerabilidad día cero en PayPal permíteme robar dinero de cualquier usuario

Una vulnerabilidad sin corregir en el sistema de transferencia de dinero en PayPal permitiría a los actores de amenazas engañar a cualquier usuario para realizar una trasferencia electrónica con un simple clic.

Este es un ejemplo de la técnica conocida como secuestro de clics (clickjacking), basada en hacer que un usuario interactúe involuntariamente con contenido malicioso en una página web aparentemente inofensiva. Los ataques de secuestro de clics usualmente permiten la descarga de malware, redirecciones a sitios web maliciosos o el robo de datos.

Esto es posible colocando una página invisible o un elemento HTML por encima del contenido visible para el usuario, de modo que el usuario ni siquiera pueda sospechar cuando esté siendo atacado.

El investigador que identificó el problema, conocido como h4x0r_dz, menciona: “El atacante puede secuestrar los clics destinados a la página web legítima y enrutarlos a un sitio probablemente propiedad de otra aplicación, dominio o ambos”. Según el investigador, la falla reside en el endpoint www.paypal.com/agreements/approve, y fue reportada a PayPal a finales de 2021.

El endpoint está diseñado para acuerdos de facturación y solo debe aceptar tokens billingAgreementToken. No obstante, h4x0r_dz afirma haber descubierto que es posible pasar otro tipo de token, lo que permitiría vaciar cualquier cuenta de PayPal.

Los cibercriminales podrían incrustar el endpoint dentro de un iframe, lo que provocaría que una víctima con sesión previamente iniciada en un navegador web transfiera fondos a una cuenta de PayPal bajo su control, requiriendo un mínimo nivel de interacción con la víctima.

La falla también podría ser explotada en los portales en línea que se integran con PayPal para pagar: “Hay servicios en línea que permiten agregar saldo mediante PayPal; es posible usar el mismo exploit y agregar saldo a mi cuenta desde el perfil de PayPal de cualquier usuario”.

Aparentemente, la vulnerabilidad no ha sido corregida y el investigador no ha sido contactado por PayPal. Se desconocen los motivos por los que la compañía no ha respondido a este reporte.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).