PayPal es el servicio de pagos por Internet más conocido, que nos evita tener que proporcionar nuestro número de tarjeta de crédito a desconocidos y que ofrece un sistema de resolución de conflictos con los vendedores. Pues bien, ahora se ha descubierto que PayPal sufría un importante fallo de seguridad, cuyas implicaciones podrían haber sido muy graves.
El problema tiene su origen en OAuth, un sistema de inicio de sesión muy usado en Internet. Hace poco supimos que se podían robar cuentas de Facebook y Google por medio de esta vulnerabilidad, y ahora la afectada es PayPal. En realidad, OAuth es seguro, pero complicado de implementar, y muchos desarrolladores comenten errores que suponen una amenaza.
El investigador Antonio Sanso descubrió este problema en los inicios de sesión de PayPal, y desarrolló una aplicación para demostrar que era real. En principio, esto podría poner en peligro las cuentas de PayPal de los usuarios. De todas formas, no hay constancia de que se estuvieran realizando ataques empleando la vulnerabilidad, así que es posible que fuera el primero en localizar este fallo.
Sanso contactó con PayPal para avisarles, y recibió como respuesta que la vulnerabilidad que les expuso no existía. Tras pedir a la empresa que reconsiderara su decisión, PayPal solucionó el problema el pasado 7 de noviembre. Aunque resulta probable que muchos otros servicios sufran errores relacionados con OAuth, parece que este fallo concreto es propio de PayPal, que realizó modificaciones durante su implementación.
PayPal abonó una recompensa a Sanso por localizar su vulnerabilidad y avisarles para corregirla. Después de solucionada fue cuando se hizo pública toda la información. Así que los usuarios de este servicio de pagos en Internet se encuentran ahora más seguros frente a ataques.
Considerando que hasta Facebook supone un peligro para los internautas, resulta clave que PayPal haya corregido este importante fallo de seguridad. Desde luego, en un servicio como este resulta imprescindible que las cuentas de los usuarios tengan la máxima protección.
¿Qué opinas de este tema? ¿Te preocupa esta vulnerabilidad en PayPal, o consideras que se trata de un servicio muy seguro?
- Ver Comentarios