Un nuevo ataque pone en jaque la seguridad de PayPal

PayPal es una de las plataformas de pago por Internet más populares. Lleva con nosotros muchos años y es una alternativa al pago por tarjeta bancaria y para poder enviar y recibir dinero por la red. Sin embargo hemos visto que en ocasiones ha habido problemas de seguridad que ha afectado a muchos usuarios. Hoy nos hacemos eco de una noticia que informa sobre cómo han podido robar fondos de usuarios de Meetup.

Han podido robar fondos de PayPal

Un grupo de investigadores de seguridad han analizado la plataforma Meetup, que está dedicada a la organización de eventos y reuniones tanto gratuitas como de pago. Han descubierto una serie de vulnerabilidades de gran importancia que podrían haber permitido a posibles atacantes robar fondos de PayPal.

Como decimos, Meetup es una plataforma que permite organizar eventos. Ofrece la posibilidad de hacerlo de forma gratuita, pero también de pago. PayPal permite gestionar esos pagos y ahora, a través de diferentes vulnerabilidades, esos fondos han podido quedar expuestos.

Este problema ha sido identificado por Checkmarx. Un miembro de ese grupo podría tener los mismos permisos que el organizador. Esto podría ocurrir a través de código JavaScript en el mensaje en el área de debate, algo que viene habilitado por defecto en Meetup.

Al estar en esta área, el JavaScript se ejecutará en el navegador de cualquier usuario que lo permita cuando visiten la página de Meetup contaminada. Han calificado a esta vulnerabilidad con una puntuación de 8,1 sobre 10, por lo que es muy importante.

Un segundo error, también de alta gravedad y con una puntuación de 8.1 sobre 10, podría explotarse en combinación con el XSS almacenado para cambiar la dirección de PayPal de un usuario en el perfil de Meetup. Podría falsificar una solicitud y cambiar la dirección de esta plataforma de pago de un usuario en el perfil de Meetup.

Otro error, aunque no afectaría a PayPal, es que desde Checkmarx también encontraron fallos de seguridad en la API de Meetup. Esta vez la calificación es de gravedad media con 4,3. Este error relacionado con la API se refería a exponer los datos del usuario, en particular las direcciones de correo electrónico. Los usuarios no autorizados podrían haber obtenido estos datos independientemente de la configuración de privacidad en la cuenta de destino.

La importancia de proteger nuestros pagos en la red

Hemos visto este caso concreto que afecta a determinados usuarios que realizan pagos desde su cuenta de PayPal en una plataforma. Es importante recordar que debemos proteger siempre la seguridad cuando vamos a realizar pagos en la red. No importa qué servicio vayamos a utilizar, pero siempre debemos protegernos correctamente y evitar así que accedan a nuestra información.

Es esencial utilizar programas oficiales y acceder a páginas legítimas. Hay que evitar entrar en sitios de terceros o realizar pagos desde redes que no sean seguras. De lo contrario podríamos poner en riesgo nuestra información personal y comprometer además el buen funcionamiento de nuestros dispositivos.

Os dejamos un artículo donde hablamos de cómo pueden robarnos por PayPal.

El artículo Un nuevo ataque pone en jaque la seguridad de PayPal se publicó en RedesZone.