Vulnerabilidad en Paypal permitía eliminar cuentas

Cernica Ionut Cosmin ha encontrado una vulnerabilidad en Paypal que permite a atacantes remotos poder eliminar sin permisos y sin conocimiento del usuario una cuenta registrada previamente. La empresa ha desarrollado un video con la PoC de demostración (no disponible en este momento).

Si se tiene una cuenta y se ingresaba a esta página, desde allí se podría agregar un nuevo correo electrónico a la cuenta. El problema radicaba -ya ha sido solucionado- en que si el e-mail que se intentaba agregar a la cuenta de paypal ya estaba registrado (en otra cuenta por ejemplo), el nuevo correo electrónico se añadía (sin confirmar) a la cuenta.

Después de añadir el correo electrónico a la cuenta, si se ingresaba y se intentaba eliminar el correo no confirmado, la cuenta original también borraba.

Tras eliminar la cuenta, alguien podía crear otra cuenta con el mismo nombre de usuario y la contraseña deseada y utilizarla en nombre del usuario real, aunque la cuenta no tendrá dinero y no estará confirmada.

Report-Timeline:
2012-04-27: Researcher Notification & Coordination (Cernica Ionut)
2013-04-28: Vendor Notification (PayPal Inc Security Incident Team - Bug Bounty Program)
2013-05-05: Vendor Response (PayPal Inc Security Incident Team - Bug Bounty Program)
2013-08-20: Vendor Fix/Patch (PayPal Inc Developer Team - Bug Bounty Program Reward)
2013-08-21: Public Disclosure (Vulnerability Laboratory)

Como se puede ver en la linea de tiempo, la vulnerabilidad ha sido solucionada el 20 de agosto y Paypal ha pagado, a través de su Bounty Program, a su descubridor.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín