Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/12/2014
Investigador demostra el hackeig a PayPal
L’investigador de seguretat egipci, Yasser H. Ali, ha demostrat el hackeo a PayPal amb un simple clic, aprofitant una vulnerabilitat crítica que podia haver posat en perill 156 milions de clients.
Afortunadament, este enginyer formava part del programa de recompenses Bug Bounty Program de PayPal, destinat a avançar-se als ciberpirates detectant i corregint este tipus de vulnerabilitats abans que les exploten.
Este és el cas: Yasser H. Ali va comunicar a PayPal la vulnerabilitat i la firma dedicada al comerç electrònic que permet la transferència de diners entre usuaris, ja l’ha solucionat sense que cap client haja sigut afectat. A més, l’investigador ha rebut un premi de 10.000 dòlars, dels més elevats que coneixem per la detecció per part de tercers de vulnerabilitats d’este tipus.
La vulnerabilitat permetia atacs CSRF (Cross-Site Request Forgery) forçant el navegador de la víctima a enviar una petició a una aplicació web vulnerable. Amb això, s’aconseguia el control total d’un compte d’usuari de PayPal, canviar el sistema de pagament, l'adreça d’enviament o el correu electrònic.