Portada
mis comunidades
otras secciones
#17:
Vamos a ver... de una noticia relacionada: https://nakedsecurity.sophos.com/2015/08/28/paypal-patches-potential-payment-stealing-vulnerability/
"What to do?
Fortunately, there's no need to do anything.
Hegazy found the glitch back in June 2015, told PayPal, and waited until they'd told him the problem was fixed (and paid his bounty, of course!) before going public.
So this hole no longer exists and therefore cannot be exploited."
Es decir, que esta noticia dice algo que fue descubierto, notificado en Junio, parcheado y que por tanto, ya no existe.
Podríamos decir que es un tanto sensacionalista el título.
"What to do?
Fortunately, there's no need to do anything.
Hegazy found the glitch back in June 2015, told PayPal, and waited until they'd told him the problem was fixed (and paid his bounty, of course!) before going public.
So this hole no longer exists and therefore cannot be exploited."
Es decir, que esta noticia dice algo que fue descubierto, notificado en Junio, parcheado y que por tanto, ya no existe.
Podríamos decir que es un tanto sensacionalista el título.
#4:
750 dólares de recompensa... se podrían haber estirado un poco más, ¿no?
Comentarios
Vamos a ver... de una noticia relacionada: https://nakedsecurity.sophos.com/2015/08/28/paypal-patches-potential-payment-stealing-vulnerability/
"What to do?
Fortunately, there's no need to do anything.
Hegazy found the glitch back in June 2015, told PayPal, and waited until they'd told him the problem was fixed (and paid his bounty, of course!) before going public.
So this hole no longer exists and therefore cannot be exploited."
Es decir, que esta noticia dice algo que fue descubierto, notificado en Junio, parcheado y que por tanto, ya no existe.
Podríamos decir que es un tanto sensacionalista el título.
750 dólares de recompensa... se podrían haber estirado un poco más, ¿no?
#4 supongo que será un error, no?
#8 Qué va, al parecer es la prima más alta que dan para una vulnerabilidad XSS... Una birria vamos.
Me he acojonado porque yo pago casi todo por ese servicio
#1, su pagas a través de ese servicio con una tarjeta no deberías de tener problemas, ya que tu cuenta en ningún momento tiene dinero. Otra cosa es que previamente transfieras ahí dinero o que te paguen a ti a través de PayPal, entonces es cuando tu dinero podría correr peligro.
...de pagos en línea PayPal que podría exponer las cuentas...
#2 gracias por ese podría pero la vulnerabilidad está ahí
#2 osea "would have"
#16 could have?
Y es por cosas asi que aunque salga algo caro, tengo 2 cuentas, una normal y diaria, y la otra, para compras por internet (vinculada a paypal y un par de tiendas mas) que voy cargando mes a mes.
#9 Yo igual, pero la segunda cuenta es una de esas de recarga que me regala el banco por tener la nómina (esperemos que me dure mucho, la nómina digo).
Madre mía, qué rebuscado, quién diría que yo saldría "a la defensa de paypal".
Para "hackear" necesitas una tienda falsa o previamente hackeada, en la que el usuario tenga confianza. Es exagerado el titular atribuyéndolo sólo a paypal, sensacionalista cuanto menos. Si logras cumplir los requisitos, también puedes robar la VISA, Mastercard, o lo que sea sin paypal.
#14 Si te has fijado en el video la URL en la barra de direcciones es de Paypal y aparece como una web segura. Precisamente en eso consisten los ataques de XSS, al rellenar los datos en un formulario crees que se los envías al Paypal pero en realidad se los estás enviando a una web maliciosa.
#19 Además de que lo descubrió en junio y no se ha hecho público hasta que Paypal lo ha corregido.
#19 La diferencia está en que mucha gente, incluido yo mismo, no metería sus datos de "la Visa, Mastercard, o lo quesea" en una web de una tienda cualquiera, pero sí metería su usuario+contraseña de paypal en la página de pago de paypal a la que le redirigiese esa tienda.
Se supone que esa página de pago es segura, que protege al cliente del vendedor. Si el vendedor puede capturar datos de esa página, es una vulnerabilidad bien grave.
A mi me parece que no hay que confundir la seguridad del propio sistema de pago con la "seguridad" que ofrece todo el servicio. Sinceramente dudo mucho de que si alguien se aprovecha de esta vulnerabilidad el perjudicado termines siendo tu mismo, los pagos por paypal se pueden bloquear y revocar, así que tampoco creo que sea un apocalipsis.
#12 buf, espero que tengas razón, porque yo lo uso cada vez más.
¡No jodas! pero si era superseguro.
#6 Ya sabes lo que dicen... ningún sistema es seguro ☝
#6 Sí, es tan seguro que te bloquean la cuenta al mínimo pestañeo.
#6 No es seguridad informática lo que garantizan, garantizan que si hay cualquier fraude se hacen ellos responsables. Para ellos es fácil. No pierden nada. Si yo te robo dinero de PayPal no es dinero de verdad. ¿Qué hago con él?
¿Lo transfiero al banco? Para eso tengo que dar una cuenta bancaria con titularidad confirmada así que después me denunciarían.
¿Mejor lo gasto en productos? Tienen la dirección a la que se envían, me denuncian igual cuando el robo se detecte.
¿Lo gasto en productos virtuales o digitales para no dar la dirección? Cuando se detecte el fraude le quitan el dinero al que te ha vendido los productos digitales y él a su vez te los anula si puede.
Al final el cliente recupera su dinero y PayPal tiene bastantes probabilidades de recuperarlo también.
La mía a 0
Solo la usaba con ebay y aliexpress
Y cómo se hace? Que necesito pasta!!!
Hace ya un par de años, iba a entrar en mi cuenta de paypal y tecleé www.paypal.com en la barra de direcciones, como siempre...y aparecí directamente logeado dentro de paypal con la cuenta de un italiano, con, obviamente, todo ahí... cerré la pestaña y a otra cosa, pero desde luego da miedo.
Mi padre ha recibido hoy un mail sospechoso en teoría de paypal, en el decía que un mail X había sido añadido como usuario, si no era así o "sentía" que otra persona estaba usando su cuenta que reenviara un formulario, en el evidentemente se pedían todos los datos que das al hacerte la cuenta: mail, número de cuenta, etc. Por suerte lo he comprobado por otros medios y no lo hemos cumplimentado, así que ojo.
Vaya titular más sensacionalista.
#33 Al final, nos va a tener que decir las cosas la rana Gustavo, ya que tienes razón, no nos entendemos.
A ver, esta persona dice que es un investigador, con lo cual, el es libre y evidentemente cada uno de hacer lo que realmente le vaya bien y se gane la vida de cualquier forma.
Yo por ejemplo me dedico a la auditoria de seguridad y la administración de sistemas. Yo como empresario individual el dedicarle tiempo a mis clientes es lo fundamental, con eso me gano la vida. Ahora bien, otra cosa es gastar mi tiempo libre en descubrir vulnerabilidades como bien dices en PayPal, eBay, Facebook o donde sea.. evidentemente este hombre no se ha encontrado la vulnerabilidad de buenas a primeras, si lees el texto ha tenido que hacer lo siguiente.
"Para llevar a cabo este proceso, en primer lugar se debe crear una tienda en línea falsa o hackear alguna ya existente, modificando el botón encargado de conducir al usuario a la página propia para realizar el pago." aquí se puede ver que iba a descubrirlo, por lo que ha empleado su tiempo.
Cuando gastas tiempo en este tipo de auditorias, sin que PayPal te haya contratado, tienes varias alternativas, o difundes el bug y te escriben dandote las gracias o te dan una propina como agradecimiento que es como ha sido en este caso. Por lo que yo, ya no gasto mi tiempo en hacer auditorias en sistemas de otras empresas que no sean mis clientes.
Y si "tu pones el precio", esos mismos clientes te van a mandar a la mierda, por ser incapaz de convencer a PayPal para que solucione el problema en la herramienta que usan.
Con mis clientes el precio lo estipulo yo y yo pongo el precio como empresario individual, ellos tienen la opción de contratarme o no, al igual que si vas a comprarte unos zapatos a una tienda y pagas lo que vale o simplemente no te los llevas.
A mis clientes no les importa nada si soy incapaz o no de convencer a PayPal para solucionar el problema. Es una cosa totalmente diferente una cosa de la otra.
No me refiero a los clientes de PayPal, los clientes de PayPal son clientes de ellos, PayPal es el responsable de sus clientes, no del que ha descubierto el bug.
Si en mi rato libre, yo descubro un bug en una empresa grande, soy libre de avisarles, difundirla o guardarmela, al igual que ellos tienen la opción de darme las gracias, no contestar o darme propina o no.
Esta persona ha querido avisar, muy bien por el, que la propina que le han dado les ha salido un regalo para PayPal, si, es un regalo, simplemente por el marrón que le podría haber supuesto, en caso de que lo hubiesen hecho otros con peores intenciones, la broma a PayPal les podria haber salido cara, muy cara.
"Tras reportar el fallo de seguridad a los responsables del servicio, el investigador ha sido felicitado por estos, abonándole además 750 dólares como signo de agradecimiento por el error descubierto. De esta forma se convierte en el investigador que ha percibido la mayor cantidad de dinero tratándose de una vulnerabilidad XSS."
Indirectamente le han dicho. Venga comprate una piruleta y deja ya de tocar las narices. 750 dólares son 670,84 € lo que le ha librado a PayPal de una y buena.
Si hay robos masivos la que le cae es de escandalo a PayPal, con lo que le hubiese supuesto, una buena denuncia, más encima el dinero que hubiese tenido que desembolsar.
La gente es racana, racana.
#26 Bueno, tampoco seamos como la SGAE y cía, que calculan las "pérdidas teóricas".
Si el hombre se ha topado con ese fallo por casualidad, durante sus horas de trabajo normales, o en su tiempo libre, 670€ tampoco es tan mala propina. Otra cosa es que organizasen un concurso y dijesen "ahora dedica un mes, y luego, si eso, a lo mejor ganas $750"... pero no ha sido el caso.
#28 Si ponemos en una balanza dejando a un lado el tiempo que ha tenido que utilizar y saber donde esta el fallo y ponemos en el otro lado de la balanza, lo que tendria que haber pagado PayPal por denuncias y porque les han robado a sus clientes por una mala programación y una nefasta auditoria, evidentemente, no es que este bien pagado es que esta malisimamente mal pagado.
Yo de el no acepto ese dinero me guardo el secreto y que dosifique esos 670 € para esos miles de clientes a ver cuanto le hubiese salido la broma.
No hubiese pagado solo 670€ PayPal sino millones. Por lo tanto esta muy, pero que muy mal pagado.
#29 Si ponemos en una balanza que trabaja como investigador de seguridad gracias a que encuentra fallos como este y ponemos en el otro lado de la balanza el sueldo que gana... sería una estupidez guardarse el secreto y quedarse en paro solo porque PayPal no quiere darle una propina más alta.
#30 Esta claro que cada uno pone su precio. Yo como auditor de seguridad no trabajo por ese dinero. Lo dedico a mis clientes.
PayPal no estaria dentro de sus clientes.
Y si quiere mi descubrimiento el precio lo pongo yo como profesional y no son precisamente 670€
O acepta mi precio o se queda sin auditoria por el XSS descubierto.
#31 Creo que no nos entendemos.
Si mientras trabajas para tus clientes, descubres un fallo de seguridad en PayPal, eBay, Facebook o donde sea... ya te han pagado tu tiempo, tus clientes te lo han pagado. Esos mismos clientes que querrán ver las cosas funcionando, no con el riesgo de usar plataformas de pago con fallos de seguridad que a su vez puedan hacerles quedar mal ante sus clientes.
Y si "tu pones el precio", esos mismos clientes te van a mandar a la mierda, por ser incapaz de convencer a PayPal para que solucione el problema en la herramienta que usan.
De hecho... alégrate de no tener que pagarle a PayPal, fíjate lo que te digo. Que en más de un banco hay fallos de seguridad bastante obvios, y como no venga un cliente bien gordo protestando, pasan olímpicamente de todo.
"Tras reportar el fallo de seguridad a los responsables del servicio, el investigador ha sido felicitado por estos, abonándole además 750 dólares como signo de agradecimiento por el error descubierto".
¿Le habrán pagado con PayPal?
Por lo que me ha parecido entender el problema está en que la página de acceso a PayPal no es la auténtica. Algo fácilmente detectable simplemente viendo que la dirección de la barra no es la de PayPal.