Una vulnerabilidad de seguridad crítica ha sido descubierta en el negocio de comercio electrónico global de PayPal y que podría permitir que usuarios maliciosos (hackers) puedan robarte tus credenciales de acceso, e incluso los datos de tu tarjeta de crédito en formato sin cifrar.
El investigador de seguridad con sede en Egipto, Ebrahim Hegazy descubrió una vulnerabilidad XSS (Stored Cross Site Scripting) en el dominio de pagos seguros de PayPal.
Tal y como su nombre indica, el dominio se utiliza para realizar pagos seguros en línea al comprar en cualquier sitio web de compras en línea. Permite a los compradores pagar con sus tarjetas de crédito o con sus cuentas de PayPal, lo que elimina la necesidad de almacenar información de pago sensible.
Sin embargo, es posible que un atacante pueda crear una tienda en línea maliciosa o secuestrar un sitio web de compras legítimo, con el fin de engañar a los usuarios para que introduzcan sus datos personales y financieros.
¿Cómo funciona el ataque XSS almacenado?
Hegazy ha explicado el proceso paso a paso en su blog, y brinda una explicación detallada del ataque.
Este es el peor escenario de ataque según el investigador:
- El atacante crea un sitio web de compras malicioso o secuestrar cualquier tienda online legítimo.
- Luego modifica el botón de «Checkout» con una URL diseñada para explotar la vulnerabilidad XSS.
- Cada vez que los usuarios de PayPal visiten la página web modificada, y hagan clic en el botón «Checkout» para pagar con su cuenta de PayPal, serán redirigidos a la página de pagos seguros.
- La página en realidad muestra una página de phishing, donde se les pide a las víctimas introducir la información de sus tarjetas de crédito para completar la compra.
- Ahora al hacer clic en el botón de «Realizar Pago», en lugar de pagar el precio del producto (digamos 100 dólares), el usuario de PayPal pagará esa misma cantidad al atacante.
El investigador incluso ha creado un vídeo de prueba que muestra el ataque en ejecución.
PayPal premió a Hegazy con una recompensa de 750 dólares por sus hallazgos, que es el máximo que paga PayPal por las vulnerabilidades XSS. Creo que quizás debieron darle un poco más de dinero, sobre todo por lo crítica que era esta vulnerabilidad, pero como dice el dicho: «peor es nada».