Falha ainda sem correção pode permitir o roubo de dinheiro de usuários do PayPal

PayPal sofre grande ataque de credencial

Uma falha de segurança descoberta recentemente no PayPal, ainda sem correção, pode permitir que invasores executem o roubo de dinheiro de usuários do serviço de pagamento. A falha, descoberta por um pesquisador de segurança no serviço de transferência de dinheiro do PayPal pode permitir que as vítimas sejam induzidas a concluir transações direcionadas ao invasor com um único clique.

Indução de click

Clickjacking, também chamado de correção de interface do usuário, é uma técnica em que um usuário inconsciente é induzido a clicar em elementos de página da Web aparentemente inócuos. Esses elementos pode ser botões, por exemplo, cujo objetivo é o de baixar malware, redirecionar os usuários para sites maliciosos ou divulgar informações confidenciais.

Esse método é bastante comum e, os usuários acabam não percebendo que estão sendo enganados. Isso porque os invasores exibem uma página invisível ou elemento HTML no topo da página visível, resultando em um cenário em que os usuários são enganados ao pensar que estão clicando na página legítima quando na verdade estão clicando no elemento não autorizado sobreposto a ela.

“Assim, o invasor está ‘sequestrando’ cliques destinados à página [legítima] e os roteando para outra página, provavelmente pertencente a outro aplicativo, domínio ou ambos”, escreveu o pesquisador de segurança h4x0r_dz em um post documentando as descobertas.

falha-ainda-sem-correcao-pode-permitir-o-roubo-de-dinheiro-de-usuarios-do-paypal

Falha de segurança do PayPal permite roubo de dinheiro dos usuários

O h4x0r_dz, que descobriu o problema no endpoint “www.paypal[.]com/agreements/approve”, disse que o problema foi relatado à empresa em outubro de 2021. Segundo ele, “Esse endpoint foi projetado para contratos de cobrança e deve aceitar apenas o billingAgreementToken”, que revelou que, em seus testes profundos, descobriu “que podemos passar outro tipo de token, e isso leva ao roubo de dinheiro da conta do PayPal da vítima”, afirma.

Isso significa que um adversário pode incorporar o ponto de extremidade mencionado em um iframe, fazendo com que uma vítima já logada em um navegador da Web transfira fundos para uma conta do PayPal controlada pelo invasor simplesmente com o clique de um botão.

No entanto, há algo ainda mais grave, já que o ataque pode ter consequências desastrosas em portais online que se integram ao PayPal para checkouts, permitindo que o agente malicioso deduza valores arbitrários das contas do PayPal dos usuários.

“Existem serviços online que permitem adicionar saldo usando o PayPal à sua conta”, disse h4x0r_dz. “Posso usar o mesmo exploit e forçar o usuário a adicionar dinheiro à minha conta, ou posso explorar esse bug e deixar a vítima criar/pagar uma conta Netflix para mim!”

Infelizmente, o bug ainda não foi corrigido e o pesquisador de segurança não recebeu nenhuma recompensa de bug por relatar o problema, aponta o TheHackerNews.

Via: TheHackerNews

Acesse a versão completa
Sair da versão mobile