Los mejores análisis sobre criptomonedas directamente en tu bandeja de entrada.
PayPal confirma vulnerabilidad de seguridad y paga recompensa a hacker ético
Por reportar una brecha de seguridad que podría exponer la contraseña de un usuario a un hacker, PayPal pagó a Alex Brisan, un hacker ético, una recompensa por errores de quince mil trescientos dólares (15 300 dólares). PayPal admitió abiertamente que Brisan, un investigador, descubrió la brecha y les informó.
Brisan informó sobre la violación el 8 de enero, sin embargo, PayPal ya había solucionado el problema desde diciembre, pero aun así recompensó a Brisan.
Un hacker ético, también conocido como hacker de sombrero blanco, es un experto en seguridad de la información que intentamaticpenetrar en un sistema informático, red, aplicación u otros recursos informáticos en nombre de sus propietarios (y con su permiso) para encontrar vulnerabilidades de seguridad que un hacker malintencionado podría detectar.
Brisan escribió en su declaración pública que lo sucedido fue un fallo crítico que afectó a una de las páginas más visitadas de PayPal, concretamente al formulario de inicio de sesión. Descubrió la vulnerabilidad mientras exploraba el flujo principal de autenticación de PayPal.
Las lagunas de PayPal
Según Brisan, le llamó la atención que un archivo JavaScript (JS) contenía lo que parecía ser un token de falsificación de solicitud entre sitios (CSRF) y un ID de sesión. Proporcionar datos de sesión dentro de un archivo JavaScript válido, explicó Brisan, suele permitir que los atacantes los recuperen.
Del mismo modo, PayPal confirmó la filtración de tokens únicos y confidenciales en un archivo JS utilizado por la implementación de ReCaptcha. En ciertas circunstancias, los usuarios debían resolver un CAPTCHA después de autenticarse, y PayPal indicó que los tokens expuestos se usaron en la solicitud POST para resolver el CAPTCHA.
PayPal también confirmó que, tras resolver el captcha, el usuario debía acceder a otro sitio (malicioso) e ingresar susdentde PayPal. Esto permitía al hacker completar el desafío de seguridad, lo que generaba una repetición de la solicitud de autenticación para mostrar la contraseña.
PayPal explicó además que, sin embargo, la exposición solo se produjo si un usuario siguió un enlace de inicio de sesión desde un sitio malicioso.
Plataforma de conexión para hackers éticos
Para promover la ciberseguridad, una organización, HackerOne, ha proporcionado una plataforma que conecta a los hackers éticos con organizaciones que pagan recompensas por las vulnerabilidades que se encuentran en su software, servicios o productos..
Según se informa, un hacker logró hackear la HackerOne y ganó 20.000 dólares.
Además de esto, existen competiciones de hacking donde se anima a hackers éticos a participar para encontrar posibles brechas de seguridad. Uno de estos concursos de hacking Pwn2Own se celebra en marzo, y cualquiera que logre hackear un Tesla Model 3 eléctrico recibirá $700,000 y un Tesla Model 3 nuevo.
Apple también ha confirmado que cualquiera que hackee un iPhone recibirá una recompensa de 1,5 millones de dólares.
Imagen destacada de Pixabay
Si estás leyendo esto, ya llevas ventaja. Mantente al día con nuestro boletín informativo.
Muhaimin Olowoporoku
Muhaimin disfruta escribiendo sobre noticias de criptomonedas, además de ser un entusiasta de este tema. Tiene una gran habilidad para analizar problemas y mantener a la gente al tanto de lo que sucede en el mundo. Cree que la tecnología blockchain y las criptomonedas son los sistemas de confianza mutua más útiles jamás concebidos.
- ¿Qué criptomonedas pueden hacerte ganar dinero?
- Cómo mejorar tu seguridad con una billetera (y cuáles realmente vale la pena usar)
- Estrategias de inversión poco conocidas que utilizan los profesionales
- Cómo empezar a invertir en criptomonedas (qué plataformas de intercambio usar, las mejores criptomonedas para comprar, etc.)