En esta ocasión ha sido PayPal, la plataforma de pagos online más utilizada en todo el mundo, quien se ha visto afectada por esta vulnerabilidad. A finales de junio de este mismo año un investigador de seguridad egipcio llamado Ebrahim Hegazy descubrió un fallo de seguridad en esta plataforma que permitía inyectar código en la web con cierta facilidad para poder robar las cuentas de los usuarios y comprometer su información bancaria.

Aunque se no se ha podido demostrar, esta vulnerabilidad ha podido ser utilizada por piratas informáticos para acceder a las cuentas de terceras personas e incluso para descargar la información bancaria sin cifrar. Cualquier usuario malintencionado podría crear una falsa web en HTML que situada en el punto correcto de la transacción interceptara los datos de la compra y los enviara a un servidor externo controlado por los piratas informáticos sin cifrar.

Todo este proceso podía hacerse de forma totalmente transparente, ya que ni PayPal ni el usuario víctima podrían darse cuenta de la intrusión XSS.

PayPal participa en el programa Bug Bounty, por lo que este investigador de seguridad ha recibido más de 750 dólares por descubrir la vulnerabilidad y ayudar a parchearla.

Los interesados en analizar el funcionamiento de esta vulnerabilidad, que recordamos que ya ha sido parcheada, pueden verlo en el siguiente vídeo:

Cómo protegernos de este tipo de ataques, tanto en PayPal como en otras plataformas

Este tipo de ataques informáticos no dependen de los usuarios, por lo que protegerse es algo complicado. En el caso de PayPal, por ejemplo, la mejor forma de evitar caer víctima de piratas informáticos es comprando sólo en tiendas fiables donde los servidores no puedan estar comprometidos y hacerlo igualmente sólo desde redes fiables.

También es recomendable llevar un control sobre los gastos y movimientos de nuestras cuentas bancarias de manera que si detectamos alguna anomalía podamos abrir una reclamación, por ejemplo en este caso en PayPal, y a nuestra entidad bancaria para que bloqueen los cargos, intenten localizarlos y devolvernos el importe de los mismos.

¿Qué opinas de este tipo de vulnerabilidades? ¿Crees que los responsables de seguridad deberían revisar mejor sus infraestructuras?

Fuente: softzone

Quizá te interese: