Un hacker se salta la autenticación en dos pasos de PayPal

Escrito por Luis Torroba
Seguridad
0

Un joven de 17 años ha conseguido saltarse la verificación en dos pasos de una cuenta PayPal. Sí, obviamente esto no da ninguna garantía de que la forma de proteger a los usuarios de PayPal sea muy segura. Pero es que además la forma de hacerlo es bastante sencilla por lo que tendremos que tener cuidado a la hora de utilizar este servicio.

PayPal es la plataforma de pago más utilizada en internet. Cada día se mueven millones en dineros de todo el mundo. Pues bien, este servicio parece que es poco seguro. Un hacker que vive en Melbourne llamado Joshua Rogers ha conseguido saltarse la verificación en dos pasos y lo ha explicado en su blog después de haber avisado a PayPal.

Y la verdad es que la manera de saltarse la verificación es bastante sencilla, dentro de lo que cabe. En principio hace falta tener la contraseña del usuario para acceder a la cuenta y luego, manejar una cookie en concreto para que la web crea que el proceso de autenticación ya se ha realizado.

PayPal todavía no lo ha arreglado

Aunque Joshua Rogers avisó en junio a PayPal y han pasado dos meses hasta que lo ha hecho público, la plataforma de pago aún no lo ha solucionado. Esto es lo que le dijo a PayPal: “Una vez que estamos conectados, se establece una cookie con nuestros datos, y somos redirigidos a una página para confirmar los detalles del proceso. Es en este momento donde la vulnerabilidad se puede aprovechar. Sólo tenemos que cargar http://www.paypal.com/ y, al haber iniciado sesión, no es necesario que se vuelvan a introducir las credenciales. De esta manera la función =_integrated-registration no comprueba el código que se ejecuta en la autenticación en dos pasos, aunque hayamos iniciado sesión en Paypal. Se puede repetir el proceso utilizando la misma función las veces que queramos”.

PayPal ha contestado a Ars Technica, el Medio que ha publicado la noticia y ha indicado que son conscientes del problema y que saben que la autenticación en dos pasos es una capa adicional de seguridad que muchos clientes quieren tener, pero que aún así, las claves de seguridad siguen cumpliendo su función y que por tanto, si un hacker no las tiene, es imposible que entre en la cuenta. De todas maneras, advierten que están trabajando en el problema para encontrar una solución lo más pronto posible.

Fuente: Ars Technica.

Compártelo. ¡Gracias!