El descuido de los usuarios de PayPal que les permite robar su cuenta y dinero [Solucionado]

Buenas tardes, queridos colegas!

Soy un usuario del popular servicio de pago PayPal. Además, en combinación, soy especialista en seguridad técnica en el campo de la protección de datos personales. Quiero contarles cómo descubrí una vulnerabilidad en el sistema que me permitió iniciar sesión en una cuenta de usuario de PayPal, así como hacer un cambio discreto de contraseña y abrir el acceso a la cuenta personal del cliente sin su conocimiento, para retirar fondos.



Entonces, comencemos ...

Para empezar, soy en parte un profesional independiente que recibe su premio a través del servicio de PayPal. Y mientras estaba sentado en casa, y una vez más revisando los recibos de mi cuenta PayPal desde mi teléfono móvil, tuve un problema para acceder a mi cuenta personal. Muy a menudo utilicé el sistema de autenticación a través de Touch ID, metiendo el dedo y entrando en la cuenta personal del servicio. Pero esta vez, por alguna razón, el Touch ID se cayó en mi teléfono móvil y tuve que recordar la contraseña habitual, lo cual fue un gran problema, porque es complicado y no se puede ingresar desde el dispositivo móvil. Después de algunos intentos fallidos de recordar la contraseña correcta, decidí usar el sistema de recuperación de contraseña y aquí comienza la diversión. :)

El hecho es que, al igual que todos los servicios que son populares hoy en día, PayPal tiene un sistema de recuperación de contraseña, y es muy multidireccional: podemos recuperar la contraseña por correo, indicando el correo de nuestra cuenta, podemos indicar la respuesta a la pregunta de seguridad ... Pero estaba interesado en esta opción restablecer el acceso a su cuenta con una "tarjeta de crédito" .


Foto 1 - Opciones para restaurar el acceso a su cuenta PayPal
(Las capturas de pantalla anteriores muestran el campo para restaurar el acceso a la cuenta a través de varias opciones)

¿Por qué está tan enganchado este momento? Bueno, porque sé cómo las personas, al menos en Rusia, se relacionan con sus datos personales, ¡sin comprender por completo cuál de ellos se puede publicar en Internet y cuál no! Comprendiendo esto, decidí realizar un experimento y descubrir qué podría amenazar al cliente, directamente a mí, junto con otros usuarios del servicio de pago de PayPal.

Para restablecer el acceso a su cuenta por número de tarjeta bancaria, el servicio nos muestra los últimos 2 dígitos del número de tarjeta. Surge una pregunta lógica: ¿cómo puedo averiguar el número completo de la tarjeta bancaria de un cliente? Y aquí nos ayudan varios servicios bancarios de pagos en línea (no hablamos sobre el descuido de las personas que dejan sus datos personales). De que estas hablando Me refiero a las aplicaciones de los bancos que las personas instalan en sus teléfonos móviles, por ejemplo, la aplicación "Sberbank Online", "VTB" y otras. ¿Cómo puede esto ayudar a un atacante? Conocer el teléfono de la posible víctima: podemos romper parcialmente la aplicación del número de tarjeta bancaria del propietario de este teléfono. El amable servicio del banco nos mostrará el "Nombre" y el "Segundo nombre" del titular de la tarjeta, así como su número de tarjeta, algunos de los cuales estarán cubiertos con asteriscos.

PD: En mi opinión, en 2018 o principios de 2019, también fui alertado por el hecho de que VTB Bank en sus terminales también reveló parcialmente los datos personales del cliente si insertaba la tarjeta de crédito encontrada en el terminal, ingresaba la contraseña "del bulldozer" y la ventana de la terminal vería el saludo "¡Hola, apellido, nombre, patronímico!" ... Este hecho me alertó.

Foto 1 - Solicitud en línea de Sberbank
(Arriba hay capturas de pantalla de Sberbank, aplicaciones VTB, que muestran parcialmente información sobre el nombre del cliente y su número de tarjeta)



(Arriba hay una captura de pantalla de la búsqueda de información en motores de búsqueda / redes sociales)
Pero sin eso. Esta cantidad de información nos ayuda a identificar a una víctima potencial mediante una búsqueda en Internet, sitios fraudulentos o descuido y credulidad humanos comunes.

Por eso me emociona este momento. Imagine a un atacante haciéndose pasar por un cliente que necesita desarrollar un sitio web. Está buscando un profesional independiente, a través de alguna plataforma popular. Escribe al profesional independiente y le ofrece sus términos, por ejemplo, ofrece pagarle el trabajo de inmediato, pero a cambio le pide un número de tarjeta bancaria para transferir dinero. Es una situación normal. Después de recibir el número de la tarjeta bancaria en su "tamaño" completo, al atacante solo le queda una cosa: averiguar en qué correo electrónico está registrada la cuenta del profesional independiente. Para hacer esto, un atacante solo necesita conducir la dirección de correo electrónico de la víctima a través del enlace de recuperación de acceso y asegurarse de que el servicio vio su correo electrónico, después de lo cual simplemente seleccionamos la opción para restaurar el acceso a la cuenta de la víctima no por correo, sino ingresando un número de tarjeta bancaria y ... Y obtenemos acceso completo a su cuenta de cliente de PayPal!


Foto 1: compruebe que el correo electrónico recibido esté en el sistema PayPal
Foto 1.1 - ver confirmación o ver falla del sistema


Foto 2: cambie el método de recuperación de correo electrónico a un número de tarjeta bancaria


Foto 2.1 - Nos aseguramos de que el número de tarjeta indicado por la víctima corresponda al vinculado en la cuenta para los últimos 2-4 caracteres.
(Lo anterior es un ejemplo de cómo puede identificar la correspondencia de correo electrónico y la vinculación de una tarjeta bancaria especificada por un profesional independiente)

Una vez que el atacante está convencido de que estos datos son suficientes y corresponden a lo que nos muestra el servicio de PayPal, el atacante simplemente inicia sesión en el sistema y al mismo tiempo establece su contraseña. Sin embargo, todas estas acciones no se muestran en el correo de la víctima. Aparentemente, el servicio cree que dado que usted especifica el número de tarjeta, es 100% su cliente, no un atacante, y simplemente no envía información sobre cómo cambiar la contraseña al correo. Esto está lleno de consecuencias.


Foto 1: vaya al sistema para restaurar el acceso a su cuenta PayPal


Foto 2 - Indicamos el método de recuperación por número de tarjeta bancaria


Foto 3 - Ingrese el número de tarjeta bancaria


Foto 4: cambie la contraseña de su cuenta PayPal


Foto 5 - Entramos en la cuenta de PayPal de una posible víctima
(Las capturas de pantalla muestran los pasos para acceder libremente a su cuenta PayPal)

HECHO! Para tal "pirateo" no se requería el uso de fondos adicionales. Toda la información se revela a través de servicios estándar o simplemente de fuentes abiertas = (

Como puede ver, sin ninguna dificultad, utilizando solo información y servicios disponibles de fuentes abiertas, pudimos iniciar sesión en la cuenta de usuario del sistema de pago de PayPal, ver su cuenta, información sobre recibos (de dónde, cuánto y cuándo), que deben estar protegidos por la banca Un secreto Sin el conocimiento del propietario de la cuenta, pudimos cambiar su contraseña.

También pudimos acceder a la configuración del perfil de usuario, y en esta configuración podemos ver los datos personales del cliente, el lugar donde vive, y lo más importante, podemos cambiar la dirección de correo electrónico de la cuenta a la que llegan las notificaciones de transferencias. Sí, por supuesto, no se puede prescindir de tirar basura en el correo principal del propietario; de lo contrario, podrá ver la carta del sistema que dice que su inicio de sesión principal se ha cambiado a otro, pero debido al correo no deseado, esto puede no notarse, ¿verdad?

Si cambiamos el correo de la cuenta, en este caso, cuando el estafador retira / transfiere el dinero de la víctima a otra cuenta del servicio, una notificación al sistema que dice "¡Hola, cliente! Estamos transfiriendo fondos a otra cuenta ... por la cantidad de ... "solo veremos, y la víctima no sabrá que su dinero se ha perdido hasta que intente ingresar a su cuenta, que no tendrá éxito de inmediato, para entonces el dinero ya puede estar retirado del sistema a cualquier cuenta fraudulenta de estafa.

¿Por qué estoy tan preocupado por este problema? Sí, soy consciente de que las personas que tienen grandes cantidades de cuentas de PayPal tienen más probabilidades de proteger la información sobre sus datos personales, saber cómo almacenarla y qué leyes protegen para operar en empresas que potencialmente pueden "iluminar" estos datos de cualquier manera en Internet, o transmitirlos a 3 personas, quienes luego pueden filtrar estos datos ... Sí, estoy completamente de acuerdo con usted. Pero, si observa más de cerca, el sistema PayPal es utilizado por muchas personas que son simples y no son muy amigas de la tecnología de la información; solo existen circunstancias urgentes que requieren que creen una cuenta y reciban fondos para ello.

Cuando descubrí cómo identificar las direcciones de correo electrónico, los números de teléfono móvil y los números de tarjeta bancaria necesarios ... No lo creerá, en algún momento simplemente conduje una consulta de búsqueda en una red social popular de la siguiente naturaleza: "Correo electrónico número de banco de PayPal tarjetas "y en los resultados de búsqueda obtuve cientos de esos datos que los atacantes pueden simplemente tomar, copiar, pegar y usar el esquema de pirateo que describí anteriormente.


Foto 1: ingrese la solicitud en la red de búsqueda en VKontakte. No publicaré el resto de las capturas de pantalla; usted mismo puede verlo. No creo que solo los residentes de Rusia tengan una actitud tan simple con respecto a sus datos personales, creo que otros países tienen el mismo problema ...

(Las capturas de pantalla muestran cuánta información con detalles específicos de cuentas, tarjetas, correo electrónico, puede obtenerse fácil y simplemente de fuentes abiertas en Internet)

La mayoría de estos datos se publican sin dudar por personas que recaudan fondos para el tratamiento de sus hijos, parientes y queridas mascotas. Estas personas, y esto es comprensible, no piensan en la seguridad de su cuenta PayPal; para ellos, salvar vidas es, en primer lugar. Entendiendo esto, creo que el servicio de PayPal debería cambiar el enfoque para restaurar el acceso a una cuenta indicando un número de tarjeta bancaria. Además del número de la tarjeta bancaria, sería razonable enviar una solicitud con un "código" al correo o teléfono del cliente.
Esto ayudará a identificar a tiempo los intentos de los estafadores para obtener acceso a su cuenta, incluso es posible identificar a los estafadores de la vida real en este momento (si es una sorpresa para ellos y se pueden rastrear sus acciones).

Qué deben hacer los usuarios para mejorar la seguridad de los usuarios de PayPal:

1. Habilite la autorización de dos factores en su cuenta.
2. No publique en el dominio público en Internet los números de tarjeta, correos electrónicos asociados con su cuenta PayPal.
3. No publique sus datos personales en redes sociales, foros y mensajería instantánea.
4. Utilice el correo electrónico, que no se indicó en ningún lugar excepto PayPal (desconocido para nadie excepto usted).

¿Qué debe hacer el servicio para mejorar la seguridad de los usuarios de PayPal?

1. Cuando utilice la función de restaurar el acceso a una cuenta indicando una tarjeta bancaria, implemente el envío adicional de un código de confirmación al correo del cliente o a un número de teléfono móvil, después de la confirmación de que ya está permitido cambiar la contraseña a una nueva.
2. Informe al cliente sobre el intento de cambiar la contraseña de la cuenta al correo.
3. Para informar al cliente sobre cambios en la cuenta, incluso para informar sobre el cambio de correo electrónico, nombre, detalles de detalles.

Este informe fue escrito el 31 de diciembre de 2019. Desde el 26 de diciembre, ha habido intentos fallidos de contactar al servicio de soporte de PayPal: solo recibí una respuesta de cancelación de suscripción que los especialistas del departamento técnico se pondrán en contacto conmigo, pero no se han comunicado.

UPD: A partir del 13/01/2020, esta vulnerabilidad se ha solucionado.

Enlaces útiles sobre este problema de otro especialista en seguridad que descubrió un problema similar que le permite robar el nombre de usuario y contraseña de PayPal [ Leer ... ]