Miércoles, Septiembre 20, 2017

Una vulnerabilidad crítica XSS en PayPal expone las cuentas de los usuarios

Logotipo-de-PayPal.jpg

Las vulnerabilidades XSS (Cross-site Scirpting) son un tipo de fallos de seguridad que permiten a piratas informáticos inyectar código JavaScript en las webs vulnerables para ejecutar una serie de comandos. Un pirata informático puede, por ejemplo, inyectar código para redirigir al usuario a una tercera web controlada por él con el fin de robar sus datos personales y bancarios o descargarle malware en su ordenador. La mayoría de las páginas web suelen controlar este tipo de vulnerabilidades de forma activa, aunque siempre quedan huecos propensos a un ataque.

En esta ocasión ha sido PayPal, la plataforma de pagos online más utilizada en todo el mundo, quien se ha visto afectada por esta vulnerabilidad. A finales de junio de este mismo año un investigador de seguridad egipcio llamado Ebrahim Hegazy descubrió un fallo de seguridad en esta plataforma que permitía inyectar código en la web con cierta facilidad para poder robar las cuentas de los usuarios y comprometer su información bancaria.

Aunque se no se ha podido demostrar, esta vulnerabilidad ha podido ser utilizada por piratas informáticos para acceder a las cuentas de terceras personas e incluso para descargar la información bancaria sin cifrar. Cualquier usuario malintencionado podría crear una falsa web en HTML que situada en el punto correcto de la transacción interceptara los datos de la compra y los enviara a un servidor externo controlado por los piratas informáticos sin cifrar.

Todo este proceso podía hacerse de forma totalmente transparente, ya que ni PayPal ni el usuario víctima podrían darse cuenta de la intrusión XSS.

PayPal participa en el programa Bug Bounty, por lo que este investigador de seguridad ha recibido más de 750 dólares por descubrir la vulnerabilidad y ayudar a parchearla.

Los interesados en analizar el funcionamiento de esta vulnerabilidad, que recordamos que ya ha sido parcheada, pueden verlo en el siguiente vídeo:

Cómo protegernos de este tipo de ataques, tanto en PayPal como en otras plataformas

Este tipo de ataques informáticos no dependen de los usuarios, por lo que protegerse es algo complicado. En el caso de PayPal, por ejemplo, la mejor forma de evitar caer víctima de piratas informáticos es comprando sólo en tiendas fiables donde los servidores no puedan estar comprometidos y hacerlo igualmente sólo desde redes fiables.

También es recomendable llevar un control sobre los gastos y movimientos de nuestras cuentas bancarias de manera que si detectamos alguna anomalía podamos abrir una reclamación, por ejemplo en este caso en PayPal, y a nuestra entidad bancaria para que bloqueen los cargos, intenten localizarlos y devolvernos el importe de los mismos.

¿Qué opinas de este tipo de vulnerabilidades? ¿Crees que los responsables de seguridad deberían revisar mejor sus infraestructuras?

Fuente: softzone

Quizá te interese:

Compártelo. ¡Gracias!

 

Grupo Digital de Ayuda! Tu portal de informacion e ayuda.

¿Quién está en línea?

Hay 58 invitados y ningún miembro en línea

Contador de Visitas

11701819
Hoy Hoy 59
Ayer Ayer 873
Esta semana Esta semana 1673
Este mes Este mes 15888
Total de Visitas Total de Visitas 11701819

Día con más
visitantes

08-29-2017 : 1153

Gracias por su visita