Tutti coloro che posseggono un account PayPal farebbero bene a prestare particolare attenzione al modo in cui si servono del proprio account, molto più che come di consueto, onde evitare che eventuali malintenzionati possano sfruttare la nuova e gravissima falla da poco scovata.
PayPal: una falla senza patch permette a terzi di controllare le transazioni
Di recente, infatti, è stato individuato un bug su PayPal che può consentire a un malintenzionato di rubare il denaro presente sull’account violato, inducendo il malcapitato di turno a completare transazioni controllate da terzi con un singolo clic. A dare per per primo notizia della cosa è stato il ricercatore di sicurezza h4x0r_dz.
Nel dettaglio, la vulnerabilità si trova nell’endpoint dedicato all’approvazione delle fatture. Purtroppo, pare che l’endpoint in questione accetti token diversi da billingAgreementToken che in teoria dovrebbe essere l’unico a poter essere accettato.
È proprio lì che risiede la vulnerabilità, permettendo a un malintenzionato di rubare il denaro di una vittima ignara, tramite un endpoint caricato su un Iframe, per cui cliccando sulla pagina si innesca il meccanismo di trasferimento del denaro al conto PayPal del criminale, come dimostra il video d’esempio annesso di seguito.
Pare anche che la vulnerabilità possa essere sfruttata per l’iscrizione a servizi che permettono pagamenti tramite PayPal.
Da notare che attualmente per il bug non c'è una patch e inoltre PayPal non ha ancora premiato il ricercatore che l’ha scoperta così come previsto dal programma dedicato, ma di certo l’azienda ha già provveduto ad attivarsi per cercare di far fronte quanto prima alla situazione.
Per evitare di incappare in pericolo informatici, sia localmente che online, è sempre bene, non solo prestare un elevata dose d'accortezza nell’uso dei propri dispositivi, ma pure munirsi di un buon antivirus, come nel caso di Norton 360 Standard che è in sconto al costo di 29,99 euro per un anno oppure 79,99 euro per due anni.