Vulnerabilidad de Paypal finalmente reparada

Publicado el 31 mayo 2013 ¬ 16:43 pmh.mscComentarios desactivados en Vulnerabilidad de Paypal finalmente reparada

La noche del miércoles, el procesador de pagos PayPal corrigió el agujero de seguridad en su portal, el cual se encontraba público desde hace cinco días. La compañía estaba consciente de la vulnerabilidad aproximadamente desde hace dos semanas. El agujero era crítico: permitía a los atacantes inyectar código arbitrario JavaScript en el sitio de PayPal para, potencialmente, recolectar las credenciales de acceso de los usuarios.

El porqué PayPal tomó tanto tiempo para arreglar el hueco es incomprensible, la información necesaria para explotar la vulnerabilidad ha estado circulando en la red desde la semana pasada y había una necesidad urgente de una acción inmediata. En casos similares, las empresas afectadas tienden a responder en 24 horas.

El martes pasado (una fecha ya tardía), un portavoz de PayPal dijo al sitio The H Security que “en este momento, no hay ningún indicio de que los datos de los clientes de PayPal esten en riesgo”, a pesar de que The H Security aportó la prueba de lo contrario mediante la incorporación de su propio formulario de inicio de sesión en el sitio de PayPal mediante el protocolo seguro HTTPS. Los atacantes con una motivación un poco más criminal, podrían haber inyectado una página de phishing que, a primera vista, pereciera idéntica a la original.

La vulnerabilidad fue descubierta por Robert Kugler, un estudiante de 17 años de edad, que originalmente quería reportarlo a través del programa de recompensas de errores que la compañía lanzó el año pasado. Cuando PayPal no le permitió participar en el programa porque todavía no tenía 18 años, el estudiante dio a conocer los detalles de su descubrimiento en la lista de correo de divulgación completa de seguridad, pero solo después de darle a PayPal el período de gracia de una semana, periodo que la empresa se permitió no considerar.

Kugler informó que recibió ayer otro correo electrónico de PayPal en el que la compañía dijo: “la vulnerabilidad que ha enviado se informó anteriormente por otro investigador”, lo que sugiere que la compañía sabía del problema desde hace más de dos semanas. PayPal dijo que esa era la razón por la que no se le dio remuneración a Kugler por el descubrimiento del bug. La empresa, sin embargo, ofrece enviar al joven investigador una “carta de reconocimiento” por su investigación.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies