Hack de inicio de sesión «crítico» de PayPal: nuevo informe advierte que ahora está en riesgo por los Ciberdelincuentes

Han sido unas pocas semanas difíciles para el gigante de pagos en línea PayPal. Primero llegó la confirmación de que un pirateo de autenticación permitiría a un atacante acceder a una cuenta una vez que las credenciales hayan sido suplantadas, evitando las herramientas de autenticación de la empresa financiera . Y ahora otro informe de seguridad afirma que se puede omitir todo el proceso de autenticación, permitiendo que un atacante obtenga acceso a una cuenta con nada más que credenciales robadas, disponibles para su compra en la web oscura «por tan solo $ 1.50».

El informe proviene del equipo de investigación de CyberNews e incluye una queja de que PayPal o el equipo de HackerOne que realizó dichos informes no tomaron en serio los hallazgos. «Cuando nuestros analistas descubrieron seis vulnerabilidades en PayPal», dijo CyberNews, «que van desde explotaciones peligrosas que pueden permitir que cualquiera omita su autenticación de dos factores, hasta poder enviar código malicioso a través de su sistema SmartChat, nos encontramos sin parar retrasos, personal que no responde y falta de aprecio «.

Por su parte, PayPal me dijo que siempre toma en serio tales presentaciones, «y revisa cada una con un sentido apropiado de prioridad». Me aseguraron que el equipo había investigado esto en detalle, pero después de la revisión, «descubrí que las presentaciones no representaban una amenaza, y que las afirmaciones presentadas por CyberNews son inexactas y engañosas».

HackerOne no hizo ningún comentario y, en cambio, difirió la declaración de PayPal.Hoy en: innovación

«Nos gustaría que PayPal tome esta vulnerabilidad más en serio», me dijo CyberNews. «En este momento, [PayPal está] descartándolo como algo ‘fuera de alcance’ solo porque involucra credenciales robadas». El equipo de investigación hizo todo lo posible para mostrarme cómo funcionaba el exploit. Si bien no hay forma de conocer el estado del algoritmo de fondo que verifica el proceso, sí apareció al pie de la letra para omitir la verificación.

Para comprender el debate entre PayPal y CyberNews, es fundamental comprender algunas de las formas en que PayPal protege su cuenta. Primero, PayPal está en la posición algo única de saber todo sobre ambos lados de cada transacción, incluido el historial de comportamiento, el entorno de inicio de sesión, la actividad reciente y el potencial de riesgo de que una transacción pueda ser fraudulenta. El detalle se mantiene de cerca, pero hay numerosos puntos de datos capturados por los sistemas de la compañía.

PROMOVIDOGrads of Life  BRANDVOICE El | Programa pagadoLos cuatro pilares de la mentalidad de entrenadorNación Cívica  BRANDVOICE El | Programa pagadoSi cree que votar es importante, pruebe el censoSamsung SDS  BRANDVOICE El | Programa pagadoAutomatización e IA: la nueva frontera en ciberseguridad

Esto se hace evidente cuando inicia sesión desde un nuevo dispositivo o ubicación tal como lo identifica la dirección IP de su conexión. PayPal buscará asegurarse de que sea usted: tienen un nombre de usuario y contraseña exitosos, pero ejecutarán una verificación del sistema para buscar más garantías de que es usted. Una vez dentro, la compañía realizará más verificaciones en cada transacción que intente, nuevamente para determinar si aprobar o impugnar.

CyberNews afirma, y ​​la compañía me mostró una demostración, que puede iniciar sesión con éxito en una cuenta usando credenciales básicas en una computadora nueva. Esencialmente, afirman haber interceptado los datos de back-end del proceso de inicio de sesión para evitar que el sistema back-end desafíe el intento de inicio de sesión. Esto es en sí mismo serio. En esencia, funcionaría con credenciales de phishing tan bien como con las robadas, y se vincula a esa omisión de las verificaciones del sistema en el punto de inicio de sesión del proceso.

Desafortunadamente para CyberNews, describieron esto como «autenticación de dos factores», diciendo que el equipo «pudo pasar por alto la verificación por teléfono o correo electrónico de PayPal, lo que para facilitar la terminología podemos llamar autenticación de dos factores (2FA). Su 2FA, que se llama ‘Authflow’ en PayPal, normalmente se activa cuando un usuario inicia sesión en su cuenta desde un nuevo dispositivo, ubicación o dirección IP «.

La autenticación de dos factores significa algo muy específico en estos días: es una verificación de identidad secundaria en el punto de cada inicio de sesión o cada nuevo inicio de sesión que pretende ser una confirmación de identidad controlada por el usuario además de un nombre de usuario y contraseña. Normalmente se trata de un código de SMS único, pero puede ser un número PIN que está separado de su contraseña, o una aplicación de autenticación o incluso una clave de seguridad externa.

Ha habido muchas historias sobre la derrota de 2FA: el robo de SIM y los hacks de alto perfil de cuentas de Twitter de celebridades, por ejemplo. Y el año pasado, el FBI, algo controvertido, advirtió que los atacantes estaban falsificando la autenticación secundaria y que solo los datos biométricos podían considerarse a prueba de ataques.

PayPal hace mantener un auténtico autenticación de dos factores, se puede ver su puesta a punto en la imagen de abajo. Esto evitaría que cualquier atacante obtuviera acceso a una cuenta sin el teléfono celular del usuario o la aplicación de autenticación, lo que haría inútil una omisión de comprobación de seguridad de fondo. CyberNews no afirma haber pirateado este proceso 2FA.

PayPal 2FA
PAYPAL

CyberNews acepta que la terminología en su informe es confusa, y me dice «por 2FA, realmente nos referimos a la medida de seguridad predeterminada que el algoritmo de PayPal activa cuando hay un inicio de sesión sospechoso en una cuenta. Dado que esta medida de seguridad requiere un dispositivo separado más allá del nombre de usuario y la contraseña de la persona, utilizamos el término 2FA como referencia o similitud. Y creemos que de ahí surgió la confusión ”.

Esto no fue ayudado por una cita dada a un periódico del Reino Unido por uno del equipo de CyberNews: «PayPal y otros sitios como Amazon y los bancos utilizan la autenticación de dos factores, por lo que si se realiza un cambio importante en la cuenta, esto es doble: marcado, por ejemplo, a través de un código de seguridad que se envía por mensaje de texto al teléfono móvil del usuario. Alertamos a [PayPal] el mes pasado de que esta verificación doble se puede omitir actualmente, lo que la hace ineficaz para cualquier hacker que obtenga el correo electrónico y la contraseña de una persona ”.

Nuevamente, CyberNews explicó que esto se había entendido mal, “esta cita específica fue general, en respuesta a las seis vulnerabilidades que descubrimos. Ahora que podemos aceptar su definición de 2FA, la expresaremos de manera diferente «.

Y ese es el quid aquí. Debido a que las vulnerabilidades encontradas son claramente importantes en sí mismas, la confusión ha ofuscado el debate. CyberNews parece sentir muy fuertemente que los problemas deberían ser revelados y parcheados, y el equipo parece muy frustrado de que no lo hayan sido. «Todavía queremos enfatizar», me dijo uno del equipo, «que estas ‘verificaciones dobles’ por parte de PayPal, ya sea que se omitiera fácilmente esta omisión de seguridad principal, cambio de nombre o verificación telefónica».

CyberNews también cuestiona hasta qué punto el malentendido realmente importa, sugiriendo que no muchos usuarios han habilitado el 2FA genuino, confiando en cambio en los controles del sistema para cuidar la seguridad de la cuenta. Le pedí a PayPal el porcentaje de usuarios con el 2FA genuino habilitado, pero esa información no está disponible. «Realmente pone un gran riesgo en las cuentas de muchas personas que no tienen 2FA habilitado por el usuario», me dijo CyberNews, «que es la mayoría de los usuarios de PayPal. Creemos que el parche para este problema debería ser bastante sencillo y esencialmente queremos que [PayPal] tome medidas «.

PayPal no descartó el problema cuando hablé con ellos, pero me dijo que era un riesgo que creían que era administrado por su sistema. Y a menos que o hasta que tengamos ejemplos de cuentas vaciadas a través del hack, es difícil discutir el punto. El portavoz de PayPal también me dijo que los usuarios serían sanados financieramente por cualquier pérdida a través de un error en su sistema y controles de seguridad. Como tal, me dijeron, no existe realmente un riesgo financiero de «vaciar las cuentas bancarias» como tal.

Por el momento, derrotar a 2FA requiere un secuestro del dispositivo móvil de la víctima u otro medio de autenticación, o bien interceptar los códigos de una sola vez ingresados ​​por la víctima en su sistema. Existe claramente el riesgo de que si un atacante puede obtener acceso remoto a una máquina de destino, puede robar credenciales y luego el código 2FA en tiempo real . Es complejo y requiere un ataque en tiempo real, pero no es técnicamente complicado.

«Estamos haciendo públicas estas vulnerabilidades para advertir a los 305 millones de titulares de cuentas [de PayPal] y obligar a PayPal a repararlas antes de que los piratas informáticos exploten estas fallas de seguridad», dijo CyberNews a los medios de comunicación sobre el lanzamiento de sus hallazgos la semana pasada. Luego, justo antes de la publicación, CyberNews me dijo que pensaba que PayPal podría estar solucionando el problema, aunque dijeron que aún podrían evitar esa verificación del sistema de fondo.

Las otras vulnerabilidades planteadas por CyberNews en su informe incluyen la intercepción de un cheque en el registro de un nuevo teléfono en una cuenta, así como eludir los controles del sistema cuando se envía dinero desde un nuevo dispositivo. No vi ninguna de esas vulnerabilidades demostradas, aunque ahora se han hecho públicas y reveladas a PayPal.

Entonces, ¿deberías preocuparte? Dado el volumen de credenciales robadas disponibles para la compra, una defensa es cambiar su contraseña de PayPal y mantenerla única para esa aplicación. Cumplir con un buen consejo de contraseña también ayudará. Y luego Paypal proporciona herramientas de seguridad que asegurarán que este hack no pueda afectarlo. Puede configurar 2FA usando el portal web. Para ser sincero, por inconveniente que sea para el proceso de inicio de sesión, dado el clima actual de robo de credenciales y violaciones de datos a gran escala, 2FA siempre es un buen movimiento.

Fuente: forbes.com

Comments are closed.