PayPal arregló un problema de seguridad que pudo haber permitido a los hackers poner en peligro la base de datos de pagos del sitio web usando un ataque de inyección SQL.

Investigadores del laboratorio de vulnerabilidades obtuvo una recompensa de $3 mil dólares por descubrir y reportar el error crítico a PayPal en agosto pasado. Un aviso enviado a la lista de correo de seguridad "Full Disclosure" explicó el alcance de esta vulnerabilidad, la cual fue solucionada este mes.

La vulnerabilidad fue encontrada en el código que confirma una dirección de correo electrónico del titular de la cuenta y podría haber permitido a los atacantes pasar los filtros de seguridad de PayPal para comprometer las bases de datos del servidor back-end y apoderarse de la información confidencial.

"Una vulnerabilidad de inyección blind SQL se detectó en la aplicación oficial del sitio web de comercio electrónico de PayPal", explicó el laboratorio de vulnerabilidades. "La vulnerabilidad permite a los atacantes remotos o a usuarios locales con pocos privilegios de cuenta inyectar o ejecutar comandos blind SQL en las bases de la aplicación afectada. La vulnerabilidad se encuentra en el módulo 'confirmar dirección de correo electrónico'.

"El resultado es la ejecución correcta del comando SQL cuando el módulo se carga en la página. La explotación de la vulnerabilidad requiere una cuenta de la aplicación del usuario con pocos privilegios para acceder a la zona de la página web procesándose sin la interacción del usuario".

El laboratorio de vulnerabilidades publicó una prueba de concepto del exploit que aprovecha la vulnerabilidad.

Sin embargo, es una buena noticia que la vulnerabilidad ha sido corregida desde el sitio web de PayPal. El proceso que condujo a la solución del problema fue patrocinado por el programa de recompensas de PayPal, pese a que la remuneración en este caso en particular fue modesta.

Los programas de recopensas se han vuelto comunes en toda la industria. Los planes ofrecen un incentivo para que los investigadores informen fallas a los fabricantes de software y sitios web, en lugar de venderlos en el mercado negro o a algún usuario malicioso.

Como resultado los errores fueron encontrados y reparados más rápidamente, para beneficio de los usuarios y las empresas en el proceso. Cada vez más organizaciones se unen a este tipo de programas, tal es el caso de Avast. Google, en particular, se ha convertido en un maestro en conseguir la atención positiva hacia su perfil con los programas de recompensas.

PayPal, por el contrario, se mostró renuente al hablar de su propio sistema de recompensas, ofreciendo sólo afirmación defensiva a raíz del asesoramiento de Vulnerability Laboratory:

No discutimos las vulnerabilidades específicas identificadas por el Programa de Recompensas (Bug Bounty), sin embargo, puedo asegurar que la vulnerabilidad de inyección SQL no está afectando nuestro sitio web.

Por supuesto, PayPal está en el negocio de manejo de pagos y, con millones de dólares a través de su cuenta, esto puede explicar su oposición a entrar en cualquier discusión sobre la seguridad de su sitio web.