Un fallo de PayPal permite acceder a cualqueir cuenta bloqueada

Software

PayPal no pasa por su momento en cuanto a seguridad se refiere. En los últimos meses no ha sido este, el que nos ocupa en estas líneas, el único fallo de seguridad que se ha reportado. Como os mostramos a continuación, un fallo que afecta a PayPal permite acceder a cuentas bloqueadas.

Lo normal, en cuanto al funcionamiento de PayPal en materia de seguridad, es que si una cuenta es bloqueada el usuario tenga que introducir, necesariamente, la respuesta correcta a las preguntas de seguridad que le son solicitadas. Sin embargo, dado el fallo de seguridad que nos ocupa en estas líneas y que a continuación podréis ver en vídeo, una cuenta de PayPal bloqueada es perfectamente accesible cuando lo hacemos desde un dispositivos móvil y, evidentemente, sin necesidad alguna de pasar por el sistema de verificación y reactivación de cuentas basado en preguntas de seguridad.

El problema de seguridad está ligado directamente a la aplicación de PayPal para dispositivos móviles que hacen uso del sistema operativo móvil de Apple, iOS. Y es que, aunque recientemente se ha recibido una actualización para la misma, el fallo fue reportado por primera vez en marzo del año pasado -han pasado más de 18 meses- y por el momento PayPal no ha actuado en consecuencia. Así, los usuarios que hacen uso de PayPal para iOS pueden acceder, sin mayor problema, a las cuentas que han sido bloqueadas. No obstante, como es evidente, son necesarios el nombre de usuario -dirección de correo electrónico- y la contraseña de registro.

El problema está en que para el propietario de la cuenta será más fácil acceder una vez se haya bloqueado la cuenta, por lo que no supondrá ningún problema en su acceso el que exista este problema de seguridad. Sin embargo, si intentan acceder a nuestra cuenta “por la fuerza bruta”, es decir, probando con todo tipo de contraseñas, en ningún momento tendrán que pasar por las preguntas de seguridad en la app de PayPal para iOS. Por lo tanto, el problema de seguridad es grave, y más aún el hecho de que no se haya solucionado desde el mes de marzo del pasado año 2013.

Escrito por Carlos González

Fuente > Vulnerability Labs