El dueño de PayPal, eBay, ha corregido una vulnerabilidad que permitía a los ciberdelincuentes tomar el control de la mercancía de los comercios electrónicos y vaciar así las estanterías.

El fallo, descubierto por el investigador de seguridad Mark Litchfield de Securatary, afectó al PayPal Manager, el cual es utilizado para gestionar cuentas de PayFlow por personas que venden artículos en línea.

Las cuentas personales de PayPal no se vieron afectadas por la vulnerabilidad. Asimismo, se trata de un problema aparte de la base de datos comprometida de eBay.

La compleja falla de PayPal, documentada en una aviso de 16 páginas, permite a un atacante cambiar la contraseña de un cliente y secuestrar su cuenta para ordenar cosas gratis.

Litchfield dijo que notificó a PayPal sobre el fallo el 10 de mayo pasado y que lo arreglaron al día siguiente. Elogió la pronta respuesta del equipo de seguridad. En un breve comunicado, PayPal confirmó a The Register que el hueco de seguridad se había parchado y que Litchfield había recibido un reconocimiento por sus esfuerzos dentro de su programa de recompensas de errores:

Podemos confirmar que este error se ha corregido y agradecemos las aportaciones que los investigadores de seguridad como Mark Litchfield hacen al programa de recompensas de errores de PayPal para ayudar a mantener a PayPal como un lugar más seguro para nuestros clientes. Como recordatorio, nunca proporcione información sensible, no haga clic en enlaces sospechosos o abra archivos adjuntos de correos electrónicos desconocidos, asegurese de que está en un sitio legítimo de PayPal antes de proporcionar sus credenciales de acceso. Si sospecha de alguna actividad cuestionable por favor repórtelo a spoof@paypal.com.

Litchfield está acumulando historial en el descubrimiento de huecos de seguridad en la infraestructura web de eBay después de haber descubierto previamente un defecto que podía llevar a un atacante al secuestro de cuentas en ProStores eBay.