PayPal paga a un pirata informático $ 200,000 por descubrir la vulnerabilidad ‘One-Click-Hack’

PayPal verse 200 000 $ à un pirate informatique pour avoir découvert la vulnérabilité « One-Click-Hack » Noticias

Un investigador de seguridad reveló detalles de un ataque de secuestro de clics demostrado contra PayPal que podría explotarse para robar los saldos de las cuentas de las víctimas con un solo clic.

Clickjacking, también llamado Reparación de la interfaz de usuariose refiere a una técnica en la que se engaña a un usuario involuntario para que haga clic en elementos aparentemente inofensivos de la página web, como botones, con el objetivo de descargar malware, redirigir a sitios web maliciosos o divulgar información confidencial.

Esto generalmente se logra al mostrar una página invisible o un elemento HTML en la parte superior de la página visible, lo que da como resultado un escenario en el que se engaña a los usuarios haciéndoles creer que están haciendo clic en la página legítima cuando en realidad están haciendo clic en el elemento falso superpuesto.

«Por lo tanto, el atacante está ‘secuestrando’ clics destinados a [the legitimate] página y enrutarlos a otra página, muy probablemente propiedad de otra aplicación, dominio o ambos», investigador de seguridad h4x0r_dz escribió en una publicación que documenta los hallazgos.

h4x0r_dz, quien descubrió el problema en «www.paypal[.]com/agreements/approve», recibió una recompensa de $ 200,000 por descubrir e informar el problema en octubre de 2021.

«Este punto final está diseñado para acuerdos de facturación y solo debe aceptar billingAgreementToken», explicó el investigador. «Pero durante mis pruebas profundas, descubrí que podemos pasar otro tipo de token, y esto lleva a robar dinero de [a] cuenta de PayPal de la víctima».

Esto significa que un adversario podría incrustar el punto final antes mencionado dentro de un iframelo que hace que una víctima que ya inició sesión en un navegador web transfiera fondos a una cuenta de PayPal controlada por el atacante con solo hacer clic en un botón.

Lo que es aún más preocupante, el ataque podría haber tenido consecuencias desastrosas en los portales en línea que se integran con PayPal para pagar, permitiendo al actor malicioso deducir montos arbitrarios de las cuentas de PayPal de los usuarios.

«Hay servicios en línea que le permiten agregar saldo a su cuenta mediante PayPal», dijo h4x0r_dz. «¡Puedo usar el mismo exploit y obligar al usuario a agregar dinero a mi cuenta, o puedo explotar este error y dejar que la víctima cree/pague una cuenta de Netflix por mí!»

David
Rate author
Hackarizona