Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Vulnerabilidad de Paypal finalmente reparada
La noche del miércoles, el procesador de pagos PayPal corrigió el hueco de seguridad en su portal, el cual se encontraba público desde hace cinco días. La compañía estaba consciente de la vulnerabilidad aproximadamente desde hace dos semanas. El hueco era crítico: permitía a los atacantes inyectar código arbitrario JavaScript en el sitio de PayPal para, potencialmente, recolectar las credenciales de acceso de los usuarios.
El porqué PayPal tomó tanto tiempo para arreglar el hueco es incomprensible, la información necesaria para explotar la vulnerabilidad ha estado circulando en la red desde la semana pasada y había una necesidad urgente de una acción inmediata. En casos similares, las empresas afectadas tienden a responder en 24 horas.
El martes pasado (una fecha ya tardía), un portavoz de PayPal dijo al sitio The H Security que "en este momento, no hay ningún indicio de que los datos de los clientes de PayPal esten en riesgo”, a pesar de que The H Security aportó la prueba de lo contrario mediante la incorporación de su propio formulario de inicio de sesión en el sitio de PayPal mediante el protocolo seguro HTTPS. Los atacantes con una motivación un poco más criminal, podrían haber inyectado una página de phishing que, a primera vista, pereciera idéntica a la original.
La vulnerabilidad fue descubierta por Robert Kugler, un estudiante de 17 años de edad, que originalmente quería reportarlo a través del programa de recompensas de errores que la compañía lanzó el año pasado. Cuando PayPal no le permitió participar en el programa porque todavía no tenía 18 años, el estudiante dio a conocer los detalles de su descubrimiento en la lista de correo de divulgación completa de seguridad, pero solo después de darle a PayPal el período de gracia de una semana, periodo que la empresa se permitió no considerar.
Kugler informó que recibió ayer otro correo electrónico de PayPal en el que la compañía dijo: "la vulnerabilidad que ha enviado se informó anteriormente por otro investigador", lo que sugiere que la compañía sabía del problema desde hace más de dos semanas. PayPal dijo que esa era la razón por la que no se le dio remuneración a Kugler por el descubrimiento del bug. La empresa, sin embargo, ofrece enviar al joven investigador una "carta de reconocimiento" por su investigación.
