Vulnerabilidad en Paypal permitía eliminar cuentas
Cernica Ionut Cosmin ha encontrado una vulnerabilidad en Paypal que permite a atacantes remotos poder eliminar sin permisos y sin conocimiento del usuario una cuenta registrada previamente. La empresa ha desarrollado un video con la PoC de demostración (no disponible en este momento).
Si se tiene una cuenta y se ingresaba a esta página, desde allí se podría agregar un nuevo correo electrónico a la cuenta. El problema radicaba -ya ha sido solucionado- en que si el e-mail que se intentaba agregar a la cuenta de paypal ya estaba registrado (en otra cuenta por ejemplo), el nuevo correo electrónico se añadía (sin confirmar) a la cuenta.
Después de añadir el correo electrónico a la cuenta, si se ingresaba y se intentaba eliminar el correo no confirmado, la cuenta original también borraba.
Tras eliminar la cuenta, alguien podía crear otra cuenta con el mismo nombre de usuario y la contraseña deseada y utilizarla en nombre del usuario real, aunque la cuenta no tendrá dinero y no estará confirmada.
Report-Timeline:
2012-04-27: Researcher Notification & Coordination (Cernica Ionut)
2013-04-28: Vendor Notification (PayPal Inc Security Incident Team - Bug Bounty Program)
2013-05-05: Vendor Response (PayPal Inc Security Incident Team - Bug Bounty Program)
2013-08-20: Vendor Fix/Patch (PayPal Inc Developer Team - Bug Bounty Program Reward)
2013-08-21: Public Disclosure (Vulnerability Laboratory)
Como se puede ver en la linea de tiempo, la vulnerabilidad ha sido solucionada el 20 de agosto y Paypal ha pagado, a través de su Bounty Program, a su descubridor.
Cristian de la Redacción de Segu-Info
Si se tiene una cuenta y se ingresaba a esta página, desde allí se podría agregar un nuevo correo electrónico a la cuenta. El problema radicaba -ya ha sido solucionado- en que si el e-mail que se intentaba agregar a la cuenta de paypal ya estaba registrado (en otra cuenta por ejemplo), el nuevo correo electrónico se añadía (sin confirmar) a la cuenta.
Después de añadir el correo electrónico a la cuenta, si se ingresaba y se intentaba eliminar el correo no confirmado, la cuenta original también borraba.
Tras eliminar la cuenta, alguien podía crear otra cuenta con el mismo nombre de usuario y la contraseña deseada y utilizarla en nombre del usuario real, aunque la cuenta no tendrá dinero y no estará confirmada.
Report-Timeline:
2012-04-27: Researcher Notification & Coordination (Cernica Ionut)
2013-04-28: Vendor Notification (PayPal Inc Security Incident Team - Bug Bounty Program)
2013-05-05: Vendor Response (PayPal Inc Security Incident Team - Bug Bounty Program)
2013-08-20: Vendor Fix/Patch (PayPal Inc Developer Team - Bug Bounty Program Reward)
2013-08-21: Public Disclosure (Vulnerability Laboratory)
Como se puede ver en la linea de tiempo, la vulnerabilidad ha sido solucionada el 20 de agosto y Paypal ha pagado, a través de su Bounty Program, a su descubridor.
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!