PayPal soluciona crítico XSS persistente que permitía robar datos financieros

PayPal soluciona vulnerabilidad XSS del tipo persistente en su servicio de Pago Seguro (Secure Payment), que permitía robar datos financieros y cuentas de usuario del sitio. El 19 de Junio del 2015 Ebrahim Hegazy investigador de Seguridad radicado en Egipto, descubrió y reportó esta vulnerabilidad a PayPal mediante el sistema bug bounty, en el que […]

PayPal soluciona vulnerabilidad XSS del tipo persistente en su servicio de Pago Seguro (Secure Payment), que permitía robar datos financieros y cuentas de usuario del sitio.

El 19 de Junio del 2015 Ebrahim Hegazy investigador de Seguridad radicado en Egipto, descubrió y reportó esta vulnerabilidad a PayPal mediante el sistema bug bounty, en el que se le paga a quien encuentre y reporte un vulnerabilidad crítica que afecte los sistemas de la empresa.

El XSS permitía a un atacante modificar el código HTML del sitio de Secure Payment, que hace de intermediario cuando se compra desde cualquier sitio de compras online para no almacenar datos sensibles como el número de tarjeta de crédito o el usuario y contraseña de la cuenta de PayPal.

Una vez modificado el código podía hacer prácticamente lo que quisiera con la información.

PayPal tardó poco más de 2 meses en resolver este fallo y ha  recompensado a Ebrahim con $750 USD, el pago más alto hecho por una vulnerabilidad XSS (Cross site scripting).