Portada
Hace 9 años | Por --257481-- a malavida.com
Publicado hace 9 años por --257481-- a malavida.com
Demostrado: las cuentas de PayPal podían hackearse con un solo click

Demostrado: las cuentas de PayPal podían hackearse con un solo click

 malavida.com

El hacker egipcio Yasser H. Ali publicó un vídeo que demuestra que las cuentas de PayPal (156 millones) podían hackearse mediante un sistema bastante sencillo. La vulnerabilidad fue descubierta hace un par de meses y por fin está arreglada. Yasser H. Ali ha cobrado 10.000 euros informar del bug.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 5.9k 49

Comentarios

ShogunShuriken
editado

Me parece fetén lo que ha hecho Yashir Ali, muestra la teoría, lo comunica a PayPal, se soluciona y sólo despues, saca el vídeo con la demostración.

10.000 pavos bien ganados

V 41
K 378
D
autor

#3 Estos ignorantes de Facebook deberia aprenderde PayPal.

V 6
K 60
Franxus

#3 Pues me parece poco para lo que podría haber pasado, uno de los mayores escándalos financieros de la historia. Se merecía mínimo 1 kilo.

V 54
K 466
ShogunShuriken

#5 pues no te digo que no pero supongo/espero que es el límite de programa de PayPal, desde luego es mucho menos de lo que habría sacado haciendo mal

V 1
K 24
E
editado

#6 No tengo claro que haya sacado menos.
-Haciendo el mal pudiera haber sacado muchísimo pero con una alta probabilidad de que le pillaran y acabara en la cárcel (es difícil poner precio a ese riesgo).
-Haciendo el bien sólo ha sacado $10.000 por ahora, pero el mundo entero conoce su "buen hacer" (es difícil poner precio a eso) y además supongo que haya muchas empresas importantes interesadas en contratarlo.

V 28
K 239
e

#7 #6 Parte de los políticos de este país no sufren por eso que comentas... lol

V 3
K 39
ShogunShuriken

#7 me quedo con la última parte de tu comentario, un trabajo en una gran empresa como probablemente consiga este chico vale mucho, más que el resto de cuestiones

V 2
K 36
D

#5 tenían que haberle pagado en pesetas, habría ganado mas

V 1
K 26
D

#13 10mil pesetas???

V 0
K 20
D

#15 10 000 € en pesetas son mas gramos

V 1
K 16
D

Pienso exactamente igual que #5, mínimo 1 kilo. Ser honrado tiene que salir en la vida bastante mejor que ser corrupto.

V 0
K 7
SirSign

#3 Ahí le has dado.

V 0
K 9
ShogunShuriken

#11 si pero fíjate en el commentario de@Economicus

V 0
K 17
DaniTC
editado

#3 A mí me sabe a poco para lo grave que es. Este señor se merecía una recompensa mayor... si lo hubiera vendido se hubiera sacado muchísimo más y la que podría haber liado no hubiera sido pequeña.

V 4
K 49
D

#3 Esto en españistan terminaria con una denuncia al hacker que ha descubierto la vulnerabilidad pero que no la ha explotado.
Primero pasarian de sus correos, luego tras el "proof of concept" dirian que es un ladron.

Como consejo: Usa tarjetas virtuales (una tarjeta que creas como soporte en una real para compras online, con un limite que elijas y vigencia de la misma) o bien asocia una tarjeta a otra cuenta corriente donde solo tengas el saldo necesario para lo que pienses comprar.

V 2
K 31
D

#27 en el último caso, siempre y cuando la tarjeta no sea de crédito sino de débito

V 0
K 10
D

#36 Da igual porque si es debido y la asocias a una cuenta sin saldo...Hace años yo lo hacia asi.

Peor es credito porque van a poder chupar todo el credito.

V 0
K 12
xkill

¿Un solo click? Joder pues se pasa el video haciendo cosas: Que si coge el token de CSRF de una de las peticiones haciendo un MITM con el Burp, que si luego lanza un servicio con un exploit suyo que le hará el trabajo sucio, ...

V 31
K 249
powerline

#14 Ya, pero eso no te deja un titular tan sensacionalista. Estoy de acuerdo contigo.

V 0
K 9
P

#14 se refiere al ultimo de los clicks

V 0
K 6
F

Qué mentira de titular por dios... cc #14

V 1
K 16
Ferran

Pero ya no

V 4
K 58
D

#1 Estabas probando a ver si puedes sacar algo para este fin de semana?

V 0
K 13
D
editado

El video en youtube para no tragarse 1000 millones de anuncios para verlo:

V 2
K 26
D

lo que queda claro es que paypal son unos miseros $10000 es calderilla si es verdad que el sistema era tan hackeable

V 2
K 26
c

Es capaz de robar la cuenta y que la persona no pueda volver a entrar porque cambia las respuestas a las preguntas, por lo que la pierdes completamente.
Pero parece que se tienen que dar muchas condiciones para conseguir ese código, o eso o no he entendido como lo hace. -

- Para empezar debe ser manual. Debe tener una auth válida en su casa donde ejecuta el servidor. Para suplantar a la víctima.
- El usuario victima debe tener el paypal abierto.
- El usuario víctima debe además llamar voluntariamente a su servidor entiendo que para que pueda acceder y editar los campos. Porque ahí no explica lo que hace el servidor web que arranca.
- Y además deja rastro, porque como añade la dirección de correo suya para cambiar los datos, pues la víctima se puede dar cuenta.

Está interesante, pero la verdad la vulnerabilidad la veo débil en cuanto a la dificultad para que otro la ejecute en la máquina de la víctima. Necesita muchas cosas para funcionar, a menos que no lo haya entendido.

La voto sensacionalista, por el titular, de un click nada, casi el usuario debe darle acceso a todo.

Era difícil que saliese algún método de hackeo que estén utilizando y saquen mucho dinero.

V 2
K 21
m

Me parece una recompensa bastante cutre si se supone que con ese exploit podría sacar dinero de cualquier cuenta.

V 2
K 21
D

#19 definitivamente Yasser H. Ali es tonto.

V 0
K 8
D

Sensacionalista. Da dos o más clicks.

V 1
K 20
D

El problema es que por cada Yasser Ali hay cien mil hijos de puta con muy pocos escrúpulos o moral.

V 1
K 16
jmEspinal

10000 euros, eso es de risa, por lo menos haberle dado un sueldo de directivo que os ha librado de un buen lio.

V 1
K 15
N

Ya lo dice paypal en su web: solo necesita un correo electrónico y una contraseña. Más fácil que sacar su cartera.

Por eso nunca me he hecho una cuenta.

V 0
K 11
Candidatas
14
meneos
tecnología La china Weichai Power lanza el primer motor diésel del mundo con una eficiencia térmica del 53,09%
41
meneos
tecnología Policía quiere eliminar la comunicación cifrada de extremo
11
meneos
tecnología Dentro de los cartuchos de Super Nintendo [ENG]
14
meneos
tecnología Escándalo en la Industria Tecnológica: Super Micro acusada de vender GPUs prohibidas a China
11
meneos
tecnología Tecnoestrés, fatiga informática y el derecho a la desconexión digital en el ámbito laboral
11
meneos
tecnología Estados Unidos ha librado una batalla aérea con aviones con IA. Es una nueva revolución militar
10
meneos
tecnología Norcoreanos trabajaron en secreto en series animadas de Amazon y Max, como 'Invencible'
10
meneos
tecnología Jugadores ponen a «alquilar» sus GPU para generar porno con IA a cambio de skins de Fortnite
25
meneos
tecnología Desarrollan en Japón inteligencia artificial que predice las renuncias de los empleados
5
meneos
tecnología Los trucos de los hackers de Super Mario podrían proteger el software de errores, según un estudio (eng)
7
meneos
tecnología Netflix es acusada de manipular imágenes en uno de sus documentales de true crime, en lo que supone romper una nueva barrera ética para la IA
6
meneos
tecnología Mi experiencia con Nintendo Switch en 7 años
6
meneos
tecnología Un estudio confirma que a ChatGPT se le da bien hackear
11
meneos
tecnología Cápsula del tiempo: El clipart de principios de los 90 capturó una época (ENG)
16
meneos
tecnología Están saqueando Internet (EN)
9
meneos
tecnología Elon Musk comenzará a cobrar a todos los nuevos usuarios de X, antes Twitter, por publicar en la red social
4
meneos
tecnología Intel Construye El Sistema Neuromórfico "inspirado En El Cerebro" Más Grande Del Mundo: Hala Point + Buscando Una IA Más Sostenible
8
meneos
tecnología Tiktoktives Cap.2
26
meneos
tecnología La estafa de los SSD M2 chinos. 4TB por 40 € y tiene truco
Schani

w3pwnsex roll

V 0
K 10
SirSign

Premiando a la gente que informa de esta clase de errores se solucionan muchas cosas terminando todas las partes contentas. Porque desgraciadamente no es poco común que mucha gente que descubre cosas así notifica los fallos a las desarrolladores, generalmente compañías gigantes, y a veces no sólo es que no lo recompensa ni con un "gracias" sino que pasan del bug.

La de historias que hay por ahí de ello... son unas cuantas.

V 0
K 9
D

a mí me hackearon mi cuenta a principios de anyo. 180 € palmé, que PayPal me tuvo que devolver.

para comprar on line, PayPal nunca mais

V 0
K 7
D

#21 Date cuenta que te lo devolvieron, entonces ellos son los 1ros en interesarles que PayPal sea seguro.

V 1
K 29
NapalMe

#21 ¿No serás el típico "joyero" de ebay que solo acepta pagos por transferencia? lol

V 2
K 22
D

#29, soy mas de aceptarlo en efectivo

V 0
K 7
NapalMe

#32 ¡Cachis! No haremos negocios tu y yo lol

V 0
K 6
diophantus

#21 O sea que no perdiste nada, menos mal que usaste Paypal

V 5
K 50
Dasoman
editado

#21 #30 A mí me pasó parecido. Alguien me entró desde Israel y se hizo un pago de 60 euros. Por supuesto, al poco tiempo lo tenía reembolsado, así que no fue ningún drama (salvo el típico de cambiar contraseñas).

Sigo usando Paypal, por supuesto.

V 0
K 10
La_Abuelita
editado

#21 Te hackearon la cuenta y paypal respondió devolviéndote el dinero. Tu conclusión no tiene nada que ver con cómo utilizar las cuentas, ni desde qué dispositivos, aplicaciones, lugares, etc., sino con no utilizar paypal, que en este caso que describes, es el único que actuó correctamente.

V 3
K 33
LaInsistencia
editado

#21 punto uno, Paypal te lo tuvo que devolver. Luego el sistema funciona.
punto dos, si no te fias de Paypal, tira de tarjetas prepago, estilo Visa Electron, para añadir otra capa de seguridad por debajo de paypal. Hasta donde yo sé, todas las cajas y bancos del pais te ofrecen algo parecido. Sin ir mas lejos el sistema de Altamira Online, que te deja meter un dinero a la tarjeta y se paga solo de lo que hay en la tarjeta. La recargas un minuto antes de usarla, con la cantidad exacta que vas a gastar, y el que venga detras intentando timar, que arree...

V 0
K 6
B

#21 Habría que ver como te hackearon para decir si es culpa de paypal o tuya primero...

V 0
K 6
gobierno

Si pones la contraseña de Paypal en internet te salen asteriscos:

****

V 0
K 7
D

#45 esque mi contraseña son asteriscos: ********

V 0
K 7
p
editado

"Un solo click"...

V 0
K 6
R

Ni las cuentas Paypal se salvan

V 0
K 6
D

Hay alternativas que seran mucho mejores que paypal

V 0
K 6