Recientemente, la conocida billetera virtual PayPal ha estado en bocas de analistas de seguridad cibernética, debido auna serie de huecos de seguridad en el formulario de inicio de sesión.

Se trata de una vulnerabilidad que había sido reparada el 11 de diciembre del 2019, pero apenas en enero 2020, la empresa decidió hablar públicamente de ello.

Este error incluso pudo haber expuesto contraseñas de cuentas, de haber sido aprovechado por un hacker negativo, y las consecuencias podrían haber sido altamente graves.Con ayuda de un hacker ético se pudo comprobar a tiempo.

El problema del formulario de inicio de sesión de PayPal

La persona que encontró el problema fue Alex Birsan, un hacker ético que buscabaalternativas de violar el protocolo de seguridad del sitiowebde PayPal.

Esta práctica se lleva a cabo para informar a las empresas de la existencia de puntos débiles en su sistema, a cambio de recompensas. Esto puede mejorar la confianza con otras empresas, como e-commerces o casinos online, cuyos clientes ven en PayPal una alternativa segura a la hora de realizar pagos. Quien lo desee, puede encontrarmás info aquísobre los casinos que aceptan paypal.

Birsan se encargó de hacer de esta vulnerabilidad algo público. Consistía en unerror en el flujo del formulario de autenticación al iniciar sesión: un archivo JavaScript tenía un código token de falsificación, lo que disminuía la seguridad entre solicitud de sitios y la ID de la sesión.

De esta forma, cuando un dato de sesión, como el usuario o la contraseña, era guardado en el archivo JavaScript podía ser almacenado por cualquier atacante.Se trataría de un robo de información que podría desencadenar una suplantación de identidad.

¿Cómo los hackers aprovecharían esta vulnerabilidad?

Estos token se filtraban a través de un archivo que era utilizado para el recaptcha, de forma que los datos eran expuestos durante la solicitudPost, que se lleva a cabo después de que un usuariorealiza la autenticación y lo envía hasta el código Captchapara resolverlo.

AunquePayPalconfirmó que no todos los casos resultaban así para sus usuarios, si no que estos se exponían después de varios intentos fallidos.

Aprovechar esta vulnerabilidad no es fácil para los hackers negativos, pero no imposible. La empresa señaló que solo era viable iniciar este ataque si el hacker se encontraba al tanto de la vulnerabilidad.

Aparte, debería hacer seguimiento de un usuario que ingresara a un sitiowebmalicioso desde el principio, desde allí debería ingresar a un formulario PayPal e iniciar sesión.

Con esto, el atacante podría resolver el recaptcha y continuar repitiendo las acciones del usuario hasta obtener toda su información.

Es muy similar a las técnicas dePhishing, donde el hacker utiliza una dirección decorreo o un anuncio online maliciosopara almacenar las credenciales de los usuarios.

Por ejemplo, si un usuario ingresa a un anuncio malicioso, creyendo que va a comprar aceite de oliva a un buen precio y procede a pagar utilizando este método, se le proporcionaráun enlace infectado al formulario de inicio se sesión de PayPal, desde donde se podrá filtrar su información.

¿Qué hizo PayPal para resolver este hueco de seguridad?

Gracias al informe de errores de Alex Birsan, la empresa pudo conocer más a fondo este hueco en su sistema deciberseguridad. El hacker se encargó de proporcionar más detalles e incluso una solución a este error, a través de la plataforma HackerOne.

Se trata de un servicio donde las empresasofrecen recompensas lucrativas por encontrar errores en sus sitios web.

De esta forma, envió toda la información para que fuera validada por HackerOne. Este proceso fue iniciado el 18 de noviembre. Se necesita algo de tiempo para verificar y confirmar, así que poco más de dos semanas después pudo cobrar su recompensa. El 10 de diciembre recibió un total de 15,300$ por su informe.

Después de la confirmación del problema, los ingenieros de la empresa lograron implementar una solución en menos de 24 horas.

Reforzaron algunos controles de seguridad en la autenticación, evitando la exposición de los tokens en el archivo.

Para seguridad de los usuarios, la empresa de financiación también garantizó que hasta el momento no se había reportado ningún tipo de ataque.

El lucrativo negocio del hackeo ético

Igual que la plataforma de HackerOne existen otras empresas online quese dedican a la evaluación de errores visualizados por hacker éticos.

No se trata de una contratación para probar los protocolos contra ciberataques, sino que funciona como un sistema de recompensas.

Se trata de un negocio lucrativo para esos hacks que, en lugar de atacar, se dedican a verificar si todo está en orden en los sitiosweb. Y de no ser así, emiten informes al respecto que luego son analizados por las empresas afectadas.

Las recompensas por descubrir estos errores son muy altas. Una persona incluso logró desafiar el sitio del mismo HackerOne, llevándose a casa 20.000 $.

Actualmente, empresas importantes ofrecen incluso más:Tesla daría 535.000 libras por hackear el Tesla Model 3 yApple garantiza 1.145.000 libras por hacer lo mismo con el iPhone.