Descubierta vulnerabilidad en PayPal que permite robar el dinero de las cuentas

Publicado: 30 Agosto 2015, 12:38
por Joker


Se trata de una vulnerabilidad XSS que ha sido descubierta esta semana por el investigador egipcio Ebrahim Hegazy. Parece ser que los hackers podrían hacerse con datos relativos a las tarjetas asociadas a las cuentas ya que estos se encontrarían en texto plano. El investigador egipcio informó a PayPal y éste ha sido felicitado y recompensado con 750 dólares por haber descubierto esta vulnerabilidad.

El proceso para la explotación de este fallo ha sido descrito en el blog del usuario. Primeramente habría que crear o hackear alguna tienda existente y modificar el botón que lleva al usuario a la web donde se realizará el pago. Esa web será propiedad del hacker y no de PayPal, aún así seguirá estando protegida bajo SSL, pero todos los datos que se introduzcan en esa web de pago recaerán directamente a manos del ciberdelincuente cuando el usuario finalice el pago mediante el botón dispuesto para ello. Y no sólo eso, la cantidad indicada también irá a parar a sus manos.

El proceso descrito en vídeo:


Más info en: http://thehackernews.com/2015/08/paypal-money-hacking-tool.html

Publicidad