Robert Kugler, un estudiante alemán de apenas 17 años de edad, publicó información de una vulnerabilidad XSS (Cross-Site Scripting) en el proceso de servicio de pagos de la empresa PayPal, mediante una divulgación masiva vía correo electrónico.

Al parecer, el joven Kugler quería reportar la vulnerabilidad a PayPal para ser partícipe de un programa de recompensa de errores (Big Bounty Program), pero el programa sólo otorga las recompensas a mayores de 18 años. Por lo que en medio de su frustración, hizo pública la vulnerabilidad.

Aparentemente, los servidores de PayPal fallan al revisar cadenas en el campo de búsqueda de la versión alemana del sitio web. Como resultado, es posible insertar código JavaScript mediante este campo, que posteriormente el servidor envía al navegador web para después ejecutarlo. Mediante esta vulnerabilidad, los atacantes pueden obtener accesos restringidos a los servidores de PayPal, o de manera más general, pueden obtener información sensible para PayPal y sus usuarios.

Lo peligroso de este ataque, es que un usuario de PayPal, no puede darse cuenta que el código del atacante se está ejecutando, puesto que en la barra de direcciones del navegador web, se muestra la dirección web legítima de PayPal, junto con el certificado de seguridad SSL (Secure Socket Layer) que no muestra ninguna irregularidad.

Los usuarios de los navegadores web Opera, Firefox e Internet Explorer son vulnerables ante esta brecha de seguridad de PayPal, mientras que usuarios de Safari y Google Chrome pueden evitarlo ya que cuentan con filtros para ataques tipo XSS.