You Are Reading

.

Compartelo:
0

Vergonzosa falla de seguridad en PayPal

Jesus Bourne 28 de marzo de 2012
Hasta hace unos días, los sitios web que pertenecen al mayor servicio para pagos en línea contenían una vulnerabilidad de seguridad en un componente crítico, el cual podía ser explotado por defraudadores para robar información de sus clientes.

Paypal corrigió la vulnerabilidad poco tiempo después de ser alertado por heise security. La subsidiaria de eBay fue, sin embargo, incapaz de brindar información acerca de cómo una falla de seguridad tan seria pudo mantenerse indetectable.


Un lector de heise Security indicó que la función de búsqueda en las páginas web de PayPal no estaba filtrando correctamente la entrada del usuario, simplificando la inyección de código a las páginas de PayPal mediante una URL especialmente escrita.

El problema afectaba a páginas dentro del dominiohttps://www.paypal.com, las cuales utilizaban seguridad mediante SSL. Los clientes ingresaban al sitio desde estas páginas, y también podían utilizarlas para realizar pagos.

Para más información acerca de por qué las vulnerabilidades de cross-site scripting son un problema de seguridad muy real, consulta el artículo "Robo de contraseñas para tontos" (enlace al sitio externo de H Security).

PayPal enfatiza sus credenciales de seguridad en sus anuncios, y se presenta a sí mismo como un sistema de pagos certificado, basándose en el certificado emitido por TÜV Saarland en Europa. Reinhold Scheffel, director administrativo de tekit Consult, quien certificó a PayPal, sólo pudo ofrecer la siguiente explicación al problema: "Cuando se realizó la inspección, la falla descrita... no estuvo necesariamente presente". Paypal no fue capaz de contestar preguntas específicas acerca del incidente.

La prevalencia de problemas de cross-site scripting (XSS) no es un secreto. Aún los sitios web de bancos han sido repetidamente afectados por este tipo de vulnerabilidad. 

Apenas el año pasado, un joven colegial descubrió vulnerabilidades XSS en 17 sitios web de bancos en Alemania. Sin embargo, que el líder mundial en pagos albergue una vulnerabilidad tan fácilmente detectable en una localidad de alta visilibilidad, no deja de ser alarmante.

Fuente: The H Security 

.

Compartelo:
 
Copyright 2010 SI3H-C5IRT