Un nuevo error sin parche esta permitiendo a los atacantes poder robar dinero de las cuentas PayPal de usuarios engañándolos para que completen las transacciones sin que se den cuenta de lo que hacen.
El secuestro de clics o clickjacking como se le conoce, es la técnica que los atacantes están utilizando para engañar a los usuarios para que haga clic en una pagina invisible o un elemento de la página que parece inofensivo como por ejemplo: botones o enlaces, haciendo que se piensen que van a ser redirigidos a una pagina legitima, cuando en realidad están haciendo clic en un elemento falso.
h4x0r_dz fue el investigador que encontró la vulnerabilidad en el punto final de la url "www.paypal[.]com /agreements/approve", dijo que se le informo a la empresa en octubre del 2021.
"Este punto final está diseñado para acuerdos de facturación y solo debe aceptar billingAgreementToken", explicó el investigador. "Pero durante mis pruebas profundas, descubrí que podemos pasar otro tipo de token, y esto conduce al robo de dinero de la cuenta de PayPal de una víctima".
Esto provocaría que un atacante pueda incrustar el punto final antes mencionado dentro de un iframe, lo que provocaría que una victima que tiene la cuenta iniciada de PayPal en su ordenador transfiera fondos a una cuenta de PayPal controlada por un atacante con solo dar clic en un botón
Esto ha sido un error grande y que ha expuesto a miles de usuarios de PayPal a estar en riesgo con los fondos de su cuenta ya que hay servicios en línea que permiten agregar fondos a la cuenta del usuario; pudiendo el atacante usar la vulnerabilidad encontrada y que estos depósitos se hicieran en la cuenta que el controla.
Fuente:
Comments