Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/12/2014
Afortunadament, este enginyer formava part del programa de recompenses Bug Bounty Program de PayPal, destinat a avançar-se als ciberpirates detectant i corregint este tipus de vulnerabilitats abans que les exploten.
Este és el cas: Yasser H. Ali va comunicar a PayPal la vulnerabilitat i la firma dedicada al comerç electrònic que permet la transferència de diners entre usuaris, ja l’ha solucionat sense que cap client haja sigut afectat. A més, l’investigador ha rebut un premi de 10.000 dòlars, dels més elevats que coneixem per la detecció per part de tercers de vulnerabilitats d’este tipus.
La vulnerabilitat permetia atacs CSRF (Cross-Site Request Forgery) forçant el navegador de la víctima a enviar una petició a una aplicació web vulnerable. Amb això, s’aconseguia el control total d’un compte d’usuari de PayPal, canviar el sistema de pagament, l'adreça d’enviament o el correu electrònic.