Un investigador alemán ha descubierto un
problemas en los servidores de PayPal que habría sido explotado por ciberdelincuentes.
Benjamin Kunz Mejri, perteneciente a la empresa Vulnerability Lab, detectó un fallo de seguridad en la configuración de algunos servidores que habría propiciado a terceras personas no solo el acceso no autorizado, sino a la utilización de estos para enviar correo con contenido malware. El experto ha detallado que para alguien que no posee conocimientos altos de programación sería una vulnerabilidad muy complicada de explotar pero hoy en día cualquier cosa es posible.
En lo referido a porqué existía esta fallo, el
investigador ha detallado que hace bastante tiempo PayPal estrenó una función
que permitía compartir una cuenta con otros usuarios. Para esto solo era
necesario proporcionar la dirección de correo de esta persona con la que se
quiere compartir a la que el servicio enviará un correo para verificar su
identidad. El experto descubrió que se podía añadir código malware al nombre de
usuario que posteriormente sería recopilado por el servidor para enviar el
correo a esta persona.
Campañas phishing utilizando el servicio
legítimo de PayPal
- Aunque no se tiene constancia a ciencia cierta de
que esto se haya producido, sí que es verdad que hace tiempo se detectó el
envío de correos bastante sospechosos que utilizaban el dominio del
servicio de pagos. Dada la facilidad relativa para llevar a cabo la
difusión del contenido malicioso, no es para nada descabellado pensar que
esta situación se haya dado en algún momento, ya que no se maneja una
fecha exacta de la disponibilidad de este fallo de seguridad que por
suerte para los usuarios ya se ha solucionado.
- Lo que se puede llevar a cabo con este tipo de
prácticas es redirigir al usuario a sitios web externos del servicio para
proceder por ejemplo al robo de las credenciales de acceso a su cuenta y
de esta forma proceder posteriormente a su secuestro y uso no autorizado.
- Dada la importancia del error y las repercusiones
que ha podido tener para algunos usuarios, desde el servicio han valorado
los esfuerzos del investigador y lo han recompensado con mil dólares. Y es
que teniendo en cuenta que el correo electrónico procedía del dominio del
servicio, muy pocos usuarios habrían sospechado del contenido de éste.