sábado, 2 de abril de 2016



El alemán Benjamin Kunz Mejri, perteneciente a la empresa Vulnerability Lab, detectó un fallo de seguridad en la configuración de algunos servidores Paypal que habría propiciado a terceras personas no solo el acceso no autorizado, sino a la utilización de estos para enviar correo con contenido malware. El experto ha detallado que para alguien que no posee conocimientos altos de programación sería una vulnerabilidad muy complicada de explotar.

El investigador ha detallado que hace bastante tiempo PayPal estrenó una función que permitía compartir una cuenta con otros usuarios. Para esto solo era necesario proporcionar la dirección de correo de esta persona con la que se quiere compartir a la que el servicio enviará un correo para verificar su identidad. El experto descubrió que se podía añadir código malware al nombre de usuario que posteriormente sería recopilado por el servidor para enviar el correo a esta persona.

Campañas phishing utilizando el servicio legítimo de PayPal

Aunque no se tiene constancia a ciencia cierta de que esto se haya producido, sí que es verdad que hace tiempo se detectó el envío de correos bastante sospechosos que utilizaban el dominio del servicio de pagos. Dada la facilidad relativa para llevar a cabo la difusión del contenido malicioso, no es para nada descabellado pensar que esta situación se haya dado en algún momento, ya que no se maneja una fecha exacta de la disponibilidad de este fallo de seguridad que por suerte para los usuarios ya se ha solucionado.

Lo que se puede llevar a cabo con este tipo de prácticas es redirigir al usuario a sitios web externos del servicio para proceder por ejemplo al robo de las credenciales de acceso a su cuenta y de esta forma proceder posteriormente a su secuestro y uso no autorizado.

Dada la importancia del error y las repercusiones que ha podido tener para algunos usuarios, desde el servicio han valorado los esfuerzos del investigador y lo han recompensado con mil dólares. Y es que teniendo en cuenta que el correo electrónico procedía del dominio del servicio, muy pocos usuarios habrían sospechado del contenido de este.

Referencia Bibliografica

0 comentarios:

Publicar un comentario