14 oct. 2014

Vulnerabilidad en PayPal permite acceder a cuentas bloqueadas


El investigador de seguridad, Benjamin Kunz Mejri, publicó el descubrimiento de una falla en el procedimiento de autenticación de la API de PayPal para iOS, permitiendo que un usuario acceda a una cuenta anteriormente bloqueada.

Cuando un usuario trata de entrar a una cuenta con el password equivocado, la cuenta se bloquea temporalmente después de cierto número de intentos para evitar ataques de fuerza bruta. A pesar de este bloqueo, si el usuario ingresa el usuario y contraseña correctos desde la aplicación para iOS, se le otorgará el acceso sin verificar la suspensión. Esto lo demuestra Kunz Mejri en su video.



Si bien este primer ejemplo pareciera no tener importancia alguna, cabe mencionar que PayPal también puede bloquear cuentas por actividades sospechosas para evitar que un estafador tenga acceso a dinero obtenido de manera ilegal. En este caso, el estafador podría entrar a su cuenta a través de la app para iOS y sacar su dinero sin importar el bloqueo.

Kunz Mejri descubrió la falla hace un año y la notificó a PayPal, pero al no recibir respuesta alguna y ver que el problema no había sido solucionado, decidió publicarla. El investigador comenta que las versiones afectadas de la aplicación para iOS son la 4.6.0 y la más reciente, 5.8.

Fuente: FayerWayer

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!