Vulnerabilidad en PayPal permite acceder a cuentas bloqueadas

Vulnerabilidad en PayPal permite acceder a cuentas bloqueadas

La falla afecta a la aplicación iOS del servicio

El investigador de seguridad, Benjamin Kunz Mejri, publicó el descubrimiento de una falla en el procedimiento de autenticación de la API de PayPal para iOS, permitiendo que un usuario acceda a una cuenta anteriormente bloqueada.

Cuando un usuario trata de entrar a una cuenta con el password equivocado, la cuenta se bloquea temporalmente después de cierto número de intentos para evitar ataques de fuerza bruta. A pesar de este bloqueo, si el usuario ingresa el usuario y contraseña correctos desde la aplicación para iOS, se le otorgará el acceso sin verificar la suspensión. Esto lo demuestra Kunz Mejri en su video.

Si bien este primer ejemplo pareciera no tener importancia alguna, cabe mencionar que PayPal también puede bloquear cuentas por actividades sospechosas para evitar que un estafador tenga acceso a dinero obtenido de manera ilegal. En este caso, el estafador podría entrar a su cuenta a través de la app para iOS y sacar su dinero sin importar el bloqueo.

Kunz Mejri descubrió la falla hace un año y la notificó a PayPal, pero al no recibir respuesta alguna y ver que el problema no había sido solucionado, decidió publicarla. El investigador comenta que las versiones afectadas de la aplicación para iOS son la 4.6.0 y la más reciente, 5.8.

Recientemente se anunció que eBay y PayPal se separarán en dos compañías independientes en 2015.