Detectan una vulnerabilidad en el servicio de pagos en línea PayPal que podría exponer las cuentas ante ciberdelincuentes y propiciar el robo del dinero. Se trata de una vulnerabilidad XSS en toda regla que ha sido descubierta esta misma semana por el investigador egipcio Ebrahim Hegazy y reportada a los responsables del servicio.
|
etiquetas: paypal , vulnerabilidad , pagos en línea
"What to do?
Fortunately, there's no need to do anything.
Hegazy found the glitch back in June 2015, told PayPal, and waited until they'd told him the problem was fixed (and paid his bounty, of course!) before going public.
So this hole no longer exists and therefore cannot be exploited."
Es decir, que esta noticia dice algo que fue descubierto, notificado en Junio, parcheado y que por tanto, ya no existe.
Podríamos decir que es un tanto sensacionalista el título.
Solo la usaba con ebay y aliexpress
Para "hackear" necesitas una tienda falsa o previamente hackeada, en la que el usuario tenga confianza. Es exagerado el titular atribuyéndolo sólo a paypal, sensacionalista cuanto menos. Si logras cumplir los requisitos, también puedes robar la VISA, Mastercard, o lo que sea sin paypal.
#19 Además de que lo descubrió en junio y no se ha hecho público hasta que Paypal lo ha corregido.
¿Le habrán pagado con PayPal?
Indirectamente le han dicho. Venga comprate una piruleta y deja ya de tocar las narices. 750 dólares son 670,84 € lo que le ha librado a PayPal de una y buena.
Si hay robos masivos la que le cae es de escandalo a PayPal, con lo que le hubiese supuesto, una buena denuncia, más encima el dinero que hubiese tenido que desembolsar.
La gente es racana, racana.
Yo de el no acepto ese dinero me guardo el secreto y que dosifique esos 670 € para esos miles de clientes a ver cuanto le hubiese salido la broma.
No hubiese pagado solo 670€ PayPal sino millones. Por lo tanto esta muy, pero que muy mal pagado.
PayPal no estaria dentro de sus clientes.
Y si quiere mi descubrimiento el precio lo pongo yo como profesional y no son precisamente 670€
O acepta mi precio o se queda sin auditoria por el XSS descubierto.
¿Lo transfiero al banco? Para eso tengo que dar una cuenta bancaria con titularidad confirmada así que después me denunciarían.
¿Mejor lo gasto en productos? Tienen la dirección a la que se envían, me denuncian igual cuando el robo se detecte.
¿Lo gasto en productos virtuales o digitales para no dar la dirección? Cuando se detecte el fraude le quitan el dinero al que te ha vendido los productos digitales y él a su vez te los anula si puede.
Al final el cliente recupera su dinero y PayPal tiene bastantes probabilidades de recuperarlo también.
A ver, esta persona dice que es un investigador, con lo cual, el es libre y evidentemente cada uno de hacer lo que realmente le vaya bien y se gane la vida de cualquier forma.
Yo por ejemplo me dedico a la auditoria de seguridad y la administración de sistemas. Yo como empresario individual el dedicarle tiempo a mis clientes es lo fundamental, con eso me gano la vida. Ahora bien, otra cosa es gastar mi tiempo libre en descubrir vulnerabilidades como bien dices en PayPal, eBay, Facebook o donde sea.. evidentemente este hombre no se ha encontrado la vulnerabilidad de buenas a primeras, si lees el texto ha tenido que hacer lo siguiente.
"Para llevar a cabo este proceso, en primer lugar se debe crear una tienda en línea falsa o hackear alguna ya existente, modificando el botón encargado de conducir al usuario a la página propia para realizar el pago." aquí se puede ver que iba a descubrirlo, por lo que ha empleado su tiempo.
Cuando gastas tiempo en este tipo de auditorias, sin que PayPal te haya contratado, tienes varias alternativas, o difundes el bug y te escriben dandote las gracias o te dan una propina como agradecimiento que es como ha sido en este caso. Por lo que yo, ya no gasto mi tiempo en hacer auditorias en sistemas de otras empresas que no sean mis clientes.
Y si "tu pones el precio", esos mismos clientes te van a mandar a la mierda, por ser incapaz de convencer a PayPal para que solucione el problema en la herramienta que usan.
Con mis clientes el precio lo estipulo yo y yo pongo el precio como empresario individual, ellos tienen la opción de contratarme o no, al igual que si vas a comprarte unos zapatos a una tienda y pagas lo que vale o simplemente no te los llevas.
A mis clientes no les importa nada si soy incapaz o no de convencer a PayPal para solucionar el problema. Es una cosa totalmente diferente una cosa de la otra.
No me refiero a los clientes de PayPal, los clientes de PayPal son clientes de ellos, PayPal es el responsable de sus clientes, no del que ha descubierto el bug.
Si en mi rato libre, yo descubro un bug en una empresa grande, soy libre de avisarles, difundirla o guardarmela, al igual que ellos tienen la opción de darme las gracias, no contestar o darme propina o no.
Esta persona ha querido avisar, muy bien por el, que la propina que le han dado les ha salido un regalo para PayPal, si, es un regalo, simplemente por el marrón que le podría haber supuesto, en caso de que lo hubiesen hecho otros con peores intenciones, la broma a PayPal les podria haber salido cara, muy cara.