• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Fallo en Paypal permitía obtener la contraseña en plano

Fallo en Paypal permitía obtener la contraseña en plano

9 enero, 2020 Por Juan José Oyagüe Deja un comentario

La vulnerabilidad, la cual ha sido catalogada con un CVSS 8.0, permitía a un atacante obtener las credenciales del usuario desde el servidor

Indagando sobre el funcionamiento de PayPal, el investigador de seguridad Alex Birsan descubrió el pasado año un fichero Javascript dinámico en la plataforma de pagos online que contenía dos valores relevantes (el ‘csrf’ y el ‘_sessionId’). Dichos valores, al encontrarse en un JavaScript, eran accesibles mediante un XSSI, un tipo de ataque que incluyendo el fichero en una etiqueta ‘<script>’ los hace accesibles.

Los dos valores dinámicos del JavaScript. Fuente: Alex Birsan en Medium.

Aunque esto ya de por sí podría considerarse un fallo, profundizando sobre el uso de dichos valores llegó a la conclusión que eran utilizados por PayPal en la resolución de reCaptcha. Cuando se producen varios intentos de acceso en la plataforma, se valida enviando dichos valores, junto con el token de Google. Es entonces en dicha petición que el servidor devuelve el email y contraseña del usuario para volver a enviar el formulario de autenticación.

Aprovechando la vulnerabilidad, el sitio web de un atacante puede provocar varios accesos frustrados a PayPal para comenzar la verificación reCaptcha. Al ser accesible por el sitio del atacante los dos datos requeridos gracias al XSSI antes nombrado, sólo necesita enviar la comprobación del captcha con los valores para recibir las credenciales del usuario.

Prueba de concepto del robo de las credenciales por el sitio del atacante. Fuente: Alex Birsan en Medium.

El error, que fue reportado a PayPal el 18 de noviembre, fue resuelto 24 horas después tras ser confirmado. El descubrimiento le ha valido una recompensa de 15.300$ al investigador.

PayPal, para solucionar el fallo, ha implementado una tercera clave necesaria en la resolución del captcha que no es explotable por un XSSI. No obstante, ha quedado demostrado que la empresa almacena, aunque sea durante un corto periodo de tiempo, las contraseñas en plano de su usuarios, ya que es el servidor el que devuelve la credencial a la petición.

Aunque sea durante un corto periodo de tiempo (lo cual se desconoce) sigue siendo una mala práctica almacenar las credenciales de los usuarios en plano.

Más información:

The Bug That Exposed Your PayPal Password:
https://medium.com/@alex.birsan/the-bug-that-exposed-your-paypal-password-539fc2896da9

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Libros recomendados

Hacking Windows

Análisis Forense Digital

Publicado en: General, Vulnerabilidades Etiquetado como: Bug, Bug bounty, cvss, paypal, recaptcha, xssi

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscador

Email Newsletter

Suscríbase y reciba Una al Día en su correo.

UADCAST

Populares de UAD

  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden

Entradas recientes

  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos
  • El Bridge Horizon de Harmony Protocol, sufre un robo de 100 Millones de dólares
  • Microsoft Defender de Windows ya está disponible para Android e iOS
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

Una al Día

Una Al Día nació a raíz de un inocente comentario en un canal IRC hace casi 19 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Entradas recientes

  • El malware FluBot es eliminado en una operación mundial de las fuerzas del orden
  • La Europol detiene a una banda responsable de robar millones a través de ataques phishing.
  • Troyano bancario Coper afecta a nuevas entidades alrededor del mundo.
  • Un contratista municipal sale de copas después del trabajo y pierde un pendrive con datos personales de casi medio millón de residentes
  • NSO Group confirma que el software espía Pegasus ha sido utilizado por al menos 5 países europeos

Etiquetas

0-day Android Apple Chrome Ciberataque cve D-Link Facebook Google iOS leak linux malware Microsoft Mozilla OpenSSL Oracle OS X Phishing PHP ransomware rce vulnerabilidad vulnerabilidades Windows WordPress

Copyright © 2022 · Hispasec

 

Cargando comentarios...