PayPal ha corregido un defecto fundamental que permite a un atacante eliminar cualquier cuenta a su antojo y sustituirla por una de las suyas. 

En abril, el investigador de seguridad Ionut Cernica descubrió que los titulares de cuentas PayPal estadounidenses podrían agregar una dirección de correo electrónico a la cuenta de otra persona al visitar una página web de PayPal. Esto entonces permite que la cuenta sea eliminada.

“Una vez que ha agregado una dirección de correo electrónico existente a su cuenta si usted va al perfil de su cuenta y se elimina el correo electrónico sin confirmar, la cuenta original se borrará también”, dice el informe de Cernica.

“Después de que retiró la cuenta, puede hacer otra con el mismo nombre de usuario con la contraseña que desee, pero usted no tendrá ningún dinero y no se confirma.”

Con el fin de alcanzar la condición de PayPal verificada, el atacante sólo tendrá que asignar una cuenta bancaria o de tarjeta de crédito para el nombre de usuario de reemplazo y pasar por el procedimiento de acreditación estándar. Si el fraude no fue descubierto rápidamente, los fondos podrían entonces ser desviados en cuanto entren.

Según el informe, PayPal reconoció el fallo una semana más tarde y en mayo dijo Cernica que un parche se había publicado -, pero el investigador informó que el dodge todavía era posible.

La revisión final se publicó esta semana, y Cernica ha recibido su recompensa por el error descubierto valorado en 3.000 dólares.
Fuente: The Register